Azok a hallgatók, végzős hallgatók, fiatal tudósok, akik tanulmányaikban és munkájuk során használják fel a tudásbázist, nagyon hálásak lesznek Önnek.
közzétett http://www.allbest.ru/
A Rostov régió Általános és Szakképzési Minisztériuma
A ROSTOV RÉGIÓ ÁLLAMI KÖLTSÉGVETÉSI OKTATÁSI INTÉZeménye
"Rostov-on-Don Kommunikációs és Informatikai Főiskola"
Szakterület szerint: "Információbiztonság"
Téma: A bankok információvédelme
Egy diák csinálja
Kladovikov V.S.
PO-44 csoport
Specialty 23010551 Szoftver
számítástechnika és automatizált rendszerek
Vezető: Semergey S.V.
Bevezetés
1. A bankok információbiztonságának jellemzői
2. Automatizált információfeldolgozó rendszerek biztonsága a bankokban (ASOIB)
3. Elektronikus fizetések biztonsága
4. Magánszemélyek személyes fizetésének biztonsága
Következtetés
Alkalmazások
Bevezetés
A bankok megalakulásuk óta folyamatosan felkeltették a bűnözői érdeklődést. Ez az érdeklődés pedig nemcsak a pénzeszközök hitelintézetekben való tárolásával járt, hanem azzal is, hogy a bankok sok ember, cég, szervezet, sőt egész állam pénzügyi-gazdasági tevékenységéről szóló fontos és gyakran titkos információkat is összegyűjtöttek. Jelenleg az elektronikus fizetések, plasztikkártyák, számítógépes hálózatok elterjedtsége következtében mind a bankok, mind ügyfeleik pénze információs támadások tárgyává vált. Bárki megkísérelheti a lopást – mindössze egy internetre csatlakoztatott számítógépre van szüksége. Ráadásul ehhez nem kell fizikailag belépni a bankba, attól több ezer kilométerre is lehet „dolgozni”.
Ez a probléma jelenleg a legrelevánsabb és legkevésbé tanulmányozott. Ha a fizikai és a klasszikus információbiztonság biztosításában már régóta kialakultak a jól bevált megközelítések (bár fejlődés itt is zajlik), akkor a számítástechnika gyakori radikális változásai miatt a bankok automatizált információfeldolgozó rendszereinek biztonsági módszerei (ASOIB) ) folyamatos frissítést igényelnek. A gyakorlat azt mutatja, hogy nincsenek olyan bonyolult számítógépes rendszerek, amelyek ne tartalmaznának hibákat. És mivel a nagy ASOIB-k építésének ideológiája rendszeresen változik, a biztonsági rendszerekben talált hibák és „lyukak” kijavítása nem tart sokáig, hiszen egy új számítógépes rendszer új problémákat és új hibákat hoz, és arra kényszeríti, hogy a biztonsági rendszert újjáépítsék. út.
Véleményem szerint mindenkit érdekel a bankoknak adott személyes adatainak bizalmas kezelése. Ennek alapján az esszé megírása és a probléma tanulmányozása véleményem szerint nemcsak érdekes, de rendkívül hasznos is.
1. A bankok információbiztonságának jellemzői
A banki információk mindig is mindenféle betolakodó érdeklődésének tárgyát képezték. Minden banki bűnözés információszivárgással kezdődik. Az automatizált banki rendszerek az ilyen szivárgások csatornái. Az automatizált banki rendszerek (ABS) bevezetésének kezdetétől fogva bűnözői beavatkozások tárgyává váltak.
Így tudható, hogy 1995 augusztusában az Egyesült Királyságban letartóztatták a 24 éves orosz matematikust, Vlagyimir Levint, akinek szentpétervári otthoni számítógépe segítségével sikerült behatolnia az egyik legnagyobb amerikai bank bankrendszerébe, Citibank, és nagy összegeket próbált kivenni a számláiról. A Citibank moszkvai képviselete szerint ezt addig senki sem tudta megtenni. A Citibank biztonsági szolgálata kiderítette, hogy 2,8 millió dollárt próbáltak ellopni a banktól, de a kontrolling rendszerek ezt időben észlelték és a számlákat zárolták. Csak 400 000 dollárt loptak el.
Az Egyesült Államokban szakértők szerint 0,3-5 milliárd dollárra tehető a bankintézetek éves vesztesége a számítógépes információk illegális felhasználásából. Az információ a banki biztonság biztosításának általános problémájának egyik aspektusa.
Ebben a tekintetben a bankok információbiztonsági stratégiája nagyban különbözik más cégek és szervezetek hasonló stratégiáitól. Ennek oka elsősorban a fenyegetések sajátossága, valamint a bankok nyilvános tevékenysége, amelyek kénytelenek az ügyfelek kényelme érdekében kellően egyszerűvé tenni a számlákhoz való hozzáférést.
Egy átlagos vállalat információbiztonságát csak a potenciális fenyegetések egy szűk körére építi - elsősorban a versenytársakkal szembeni információk védelmére (az orosz valóságban a fő feladat az, hogy megvédje az információkat az adóhatóságoktól és a bűnözői közösségtől annak érdekében, hogy csökkentse az ellenőrizetlen támadások valószínűségét. adóbefizetések növekedése és zsarolás). Az ilyen információk csak az érdeklődők és szervezetek szűk körét érdeklik, és ritkán likvidek, pl. készpénzre váltható.
A bank információbiztonsága során a következő konkrét tényezőket kell figyelembe venni:
1. A bankrendszerekben tárolt és feldolgozott információ valódi pénz. Számítógépes információk alapján fizetések bonyolíthatók le, hitelek nyithatók, jelentős összegek utalhatók át. Teljesen világos, hogy az ilyen információk illegális manipulálása komoly veszteségekhez vezethet. Ez a funkció drámaian kibővíti azon bűnözők körét, akik kifejezetten a bankok működésébe lépnek (ellentétben például az ipari társaságokkal, amelyek bennfentes információi senkit sem érdekelnek).
2. A banki rendszerekben lévő információk nagyszámú ember és szervezet – banki ügyfelek – érdekeit érintik. Általában bizalmas, és a bank felelős azért, hogy ügyfelei számára a szükséges titkosságot biztosítsa. Természetesen az ügyfeleknek joguk van elvárni, hogy a bank ügyeljen az érdekeikre, ellenkező esetben kockáztatja a hírnevét, annak minden következményével együtt.
3. A bank versenyképessége attól függ, hogy mennyire kényelmes az ügyfél számára a bankkal való együttműködés, valamint attól, hogy milyen széles a nyújtott szolgáltatások köre, beleértve a távoli eléréshez kapcsolódó szolgáltatásokat is. Ezért az ügyfélnek képesnek kell lennie arra, hogy gyorsan és fárasztó eljárások nélkül kezelje a pénzét. A pénzhez való könnyű hozzáférés azonban növeli a bankrendszerekbe való bűnözés valószínűségét.
4. A bank információbiztonságának (ellentétben a legtöbb céggel) rendkívüli helyzetekben is biztosítania kell a számítógépes rendszerek nagy megbízhatóságát, hiszen a bank nem csak a saját forrásaiért, hanem az ügyfelek pénzéért is felelős.
5. A bank fontos információkat tárol ügyfeleiről, ami kiterjeszti az ilyen információk ellopásában vagy megrongálásában érdekelt potenciális behatolók körét.
Sajnos ma a technológia magas fejlettsége miatt a bizalmas információkkal való munka egyszerűsítésére irányuló rendkívül szigorú szervezési intézkedések sem védenek meg azok fizikai csatornákon való kiszivárogtatásától. Ezért az információbiztonság szisztematikus megközelítése megköveteli, hogy a bank által az információbiztonság biztosítására alkalmazott eszközöket és tevékenységeket (szervezeti, fizikai, szoftveres és hardveres) egymással összefüggő, egymást kiegészítő és kölcsönhatásban lévő intézkedések egyetlen halmazának tekintsék. Egy ilyen komplexumnak nemcsak az információk illetéktelen hozzáféréstől való védelmére kell irányulnia, hanem az információk véletlen megsemmisülésének, módosításának vagy nyilvánosságra hozatalának megakadályozására is.
2. Automatizált információfeldolgozó rendszerek biztonsága a bankokban (ASOIB)
Nem túlzás azt állítani, hogy jelenleg az egyik legsürgetőbb probléma az ASOIB működésének különböző célú szándékos megsértése. Ez az állítás leginkább a fejlett információs infrastruktúrával rendelkező országokra igaz, amint azt az alábbi ábrák is bizonyítják.
Ismeretes, hogy 1992-ben a számítógépes bűncselekményekből származó kár 555 millió dollár, 930 év munkaidő és 15,3 év számítógépes idő volt. Más források szerint a pénzügyi szervezeteket ért kár évi 173 millió dollártól 41 milliárd dollárig terjed.
Ebből a példából azt a következtetést vonhatjuk le, hogy az információfeldolgozó és -védelmi rendszerek a számítógépes hálózat, mint potenciálisan megbízhatatlan adatátviteli közeg hagyományos megközelítését tükrözik. A szoftver- és hardverkörnyezet biztonságának biztosításának számos fő módja van, amelyeket különféle módszerekkel valósítanak meg:
1.1. Felhasználói profilok létrehozása. Minden csomópont létrehoz egy adatbázist a felhasználókról, jelszavaikról és hozzáférési profiljairól a számítógépes rendszer helyi erőforrásaihoz.
1.2. Hozzon létre folyamatprofilokat. A hitelesítés feladatát egy független (harmadik fél) szerver látja el, amely mind a felhasználók, mind a célszerverek jelszavait tartalmazza (szervercsoport esetén a jelszóadatbázis is csak egy (fő) hitelesítő szervert tartalmaz, a többi csak időszakosan frissített példányok). Így a hálózati szolgáltatások igénybevételéhez két jelszó szükséges (bár a felhasználónak csak egyet kell tudnia – a másodikat a szerver biztosítja számára "átlátszó" módon). Nyilvánvalóan a szerver az egész rendszer szűk keresztmetszetévé válik, és feltörése az egész számítógépes hálózat biztonságát veszélyeztetheti.
2. A továbbított információ beágyazása speciális csereprotokollokba. Az ilyen módszerek kommunikációs használata nyilvános kulcsú titkosítási algoritmusokon alapul. Az inicializálási szakaszban egy kulcspár jön létre - nyilvános és privát, amelyek csak a nyilvános kulcsot közzétevő számára érhetők el. A nyilvános kulcsú titkosítási algoritmusok lényege, hogy a titkosítási és visszafejtési műveleteket különböző kulcsok (nyilvános, illetve privát) hajtják végre.
3. Az információáramlás korlátozása. Ezek jól ismert technikák, amelyek lehetővé teszik a helyi hálózatok kapcsolódó alhálózatokra való felosztását, valamint az alhálózatok közötti információátvitel szabályozását és korlátozását.
3.1. Tűzfalak (tűzfalak). A módszer speciális közbenső szerverek létrehozását jelenti a bank helyi hálózata és más hálózatok között, amelyek a rajtuk áthaladó teljes adatfolyamot (hálózat forgalmát / szállítási szinteket) ellenőrzik, elemzik és szűrik. Ez lehetővé teszi, hogy jelentősen csökkentse a kívülről a vállalati hálózatokhoz való jogosulatlan hozzáférés veszélyét, de nem szünteti meg teljesen ezt a veszélyt. A módszer biztonságosabb változata az álarcos módszer, amikor a helyi hálózatról kimenő összes forgalom a tűzfalszerver nevében történik, így a zárt helyi hálózat szinte láthatatlan.
3.2. proxy szerverek. Ezzel a módszerrel szigorú korlátozásokat vezetnek be a hálózaton belüli információtovábbítás szabályaira: a hálózat minden forgalma / szállítási szintje a helyi és a globális hálózatok között teljesen tilos - egyszerűen nincs útválasztás, és hívások a helyi hálózatról a globális hálózathoz speciális közvetítő szervereken keresztül történik. Nyilvánvaló, hogy ezzel a módszerrel elvileg lehetetlenné válik a hozzáférés a globális hálózatról a helyi hálózathoz. Az is nyilvánvaló, hogy ez a módszer nem nyújt kellő védelmet a magasabb szintű támadások ellen, például szoftveralkalmazások szintjén.
4. A virtuális magánhálózatok (VPN) létrehozása lehetővé teszi az információk titkosságának hatékony biztosítását, a lehallgatással vagy az adatátvitelbe való beavatkozással szembeni védelmét. Lehetővé teszik bizalmas, biztonságos kommunikáció kialakítását nyílt hálózaton, jellemzően az interneten keresztül, és kiterjesztik a vállalati hálózatok határait távoli irodákra, mobilfelhasználókra, otthoni felhasználókra és üzleti partnerekre. A titkosítási technológia kiküszöböli annak lehetőségét, hogy a VPN-üzeneteket a feljogosított címzettektől eltérő személyek elkapják vagy elolvassák, mivel fejlett matematikai algoritmusokat használ az üzenetek és alkalmazásaik titkosítására. A Cisco VPN 3000 sorozatú koncentrátorokat sokan a legjobb VPN-en keresztüli távoli hozzáférési megoldásnak tartják kategóriájukban. Cisco VPN 3000 koncentrátorok, amelyek a legfejlettebb szolgáltatásokkal, nagy megbízhatósággal és egyedi, céltudatos architektúrával rendelkeznek. Lehetővé teszi a vállalatok számára, hogy nagy teljesítményű, méretezhető és nagy teljesítményű VPN-infrastruktúrákat építsenek ki a kritikus távelérési alkalmazások támogatására. A Cisco VPN-re optimalizált útválasztók, például a Cisco 800, 1700, 2600, 3600, 7100 és 7200 útválasztók ideális eszközök virtuális magánhálózatok létrehozására egyik hálózati objektumról a másikra.
5. A behatolásérzékelő rendszerek és a sebezhetőség-ellenőrzők egy további hálózati biztonsági réteget hoznak létre. Bár a tűzfalak forrás, cél, port vagy egyéb kritériumok alapján engedélyezik vagy blokkolják a forgalmat, valójában nem elemzik a forgalmat támadások szempontjából, és nem keresik a rendszer sebezhetőségét. Ráadásul a tűzfalak általában nem kezelik a „sajátjaikból” érkező belső fenyegetéseket. A Cisco Intrusion Detection System (IDS) valós időben képes védeni a peremhálózatot, az üzleti partnerek hálózatait és az egyre sérülékenyebb belső hálózatokat. A rendszer ügynököket, azaz nagy teljesítményű hálózati eszközöket használ az egyes csomagok elemzésére a gyanús tevékenységek észlelése érdekében. Ha jogosulatlan tevékenység vagy hálózati támadás történik a hálózat forgalmában, az ügynökök valós időben észlelhetik a jogsértést, riasztást küldhetnek a rendszergazdának, és blokkolhatják a behatolót a hálózathoz való hozzáférésben. A Cisco a hálózati behatolás-észlelésen kívül olyan szerverbehatolás-észlelő rendszereket is kínál, amelyek hatékony védelmet nyújtanak a felhasználó hálózatában lévő egyes szerverek, elsősorban a WEB és az e-kereskedelmi szerverek számára. A Cisco Secure Scanner egy ipari minőségű szoftverszkenner, amely lehetővé teszi a rendszergazdáknak, hogy azonosítsák és kijavítsák a hálózati biztonsági réseket, mielőtt a hackerek rájuk találnának.
A hálózatok növekedésével és összetettebbé válásával a biztonsági elemek kezelését lehetővé tévő központosított biztonsági házirend-vezérlők követelménye válik kiemelkedővé. Az intelligencia, amely képes jelezni, kezelni és ellenőrizni a biztonsági irányelvek állapotát, javítja a hálózati biztonsági megoldások használhatóságát és hatékonyságát. A Cisco megoldásai ezen a területen stratégiai megközelítést alkalmaznak a biztonságkezelésben. A Cisco Secure Policy Manager (CSPM) támogatja a Cisco biztonsági elemeit a vállalati hálózatokban az átfogó és következetes biztonsági szabályzat érvényesítése érdekében. A CSPM segítségével az ügyfelek megfelelő biztonsági szabályzatot határozhatnak meg, érvényesíthetik azt, és érvényesíthetik több száz Cisco Secure PIX és Cisco IOS Firewall Feature Set tűzfal és IDS ügynök biztonsági alapelveit. A CSPM támogatja az IPsec szabványt is a VPN-ek létrehozásához. Ezenkívül a CSPM a széles körben használt CiscoWorks2000/VMS vállalatirányítási rendszer része.
A fenti módszereket összefoglalva elmondható, hogy az információs rendszerek fejlesztése megköveteli az információátviteli és -védelmi technológiák párhuzamos fejlesztését. Ezeknek a technológiáknak biztosítaniuk kell a továbbított információk védelmét, „megbízhatóvá” téve a hálózatot, bár a megbízhatóságon jelenleg nem a fizikai, hanem sokkal inkább logikai (információs) szintű megbízhatóságot értjük.
Számos további intézkedés is létezik, amelyek a következő elveket hajtják végre:
1. Folyamatfigyelés. A folyamatok nyomon követésének módszere a rendszer speciális bővítményének létrehozása, amely folyamatosan végezne bizonyos típusú ellenőrzéseket. Nyilvánvaló, hogy egy bizonyos rendszer csak akkor válik külsőleg sebezhetővé, ha lehetőséget biztosít információforrásaihoz külső hozzáférésre. Az ilyen hozzáférési eszközök (szerverfolyamatok) létrehozásakor általában elegendő mennyiségű előzetes információ áll rendelkezésre a kliens folyamatok viselkedésével kapcsolatban. Sajnos a legtöbb esetben ezt az információt egyszerűen figyelmen kívül hagyják. Miután egy külső folyamatot hitelesítettek a rendszerben, az életciklusa során feljogosítottnak tekintendő bizonyos mennyiségű információforráshoz való hozzáférésre minden további ellenőrzés nélkül.
Bár a legtöbb esetben nem lehetséges egy külső folyamat viselkedésére vonatkozó összes szabályt megadni, de tagadáson keresztül definiálható, vagy más szóval jelezni, hogy a külső folyamat mire nem képes semmilyen körülmények között. Ezen ellenőrzések alapján a veszélyes vagy gyanús események nyomon követhetők. Például az alábbi ábra a megfigyelési elemeket és az észlelt eseményeket mutatja: DOS-támadás; felhasználói jelszó beviteli hiba; torlódás a kommunikációs csatornában.
2. Az átviteli technológiák megkettőzése. Fennáll a veszélye annak, hogy bármilyen információátviteli technológiát feltörnek és veszélyeztetnek, mind belső hiányosságai miatt, mind külső hatások következtében. Az ilyen helyzetek elleni védelem több különböző átviteli technológia párhuzamos alkalmazásában rejlik. Nyilvánvaló, hogy a duplikáció a hálózati forgalom meredek növekedéséhez vezet. Ez a módszer azonban akkor lehet hatékony, ha az esetleges veszteségekből eredő kockázatok költsége magasabb, mint a párhuzamosság költségei.
3.Decentralizáció. A szabványosított információcsere-technológiák alkalmazását sok esetben nem a szabványosítási vágy, hanem a kommunikációs eljárásokat biztosító rendszerek elégtelen számítási teljesítménye okozza. Az interneten elterjedt „tükrözés” gyakorlata is a decentralizált megközelítés megvalósításának tekinthető. Az erőforrások több azonos másolatának készítése hasznos lehet a valós idejű rendszerekben, ahol egy rövid távú meghibásodás is meglehetősen súlyos következményekkel járhat.
3 . Elektronikus fizetések biztonsága
információs bank kriptográfiai védelem
Az az igény, hogy mindig kéznél legyen a megfelelő információ, sok vezetőt elgondolkodtat a számítógépes rendszerekkel történő üzleti optimalizálás problémáján. De ha a könyvelés papírról elektronikus formára való átállása már régóta megtörténik, akkor a bankkal való kölcsönös elszámolások még mindig nem automatizáltak: az elektronikus dokumentumkezelésre való tömeges átállás még várat magára.
Ma sok bank rendelkezik bizonyos csatornákkal a távoli fizetési tranzakciókhoz. „Fizetést” közvetlenül az irodából küldhet modemes kapcsolaton vagy dedikált kommunikációs vonalon keresztül. Valósággá vált a banki tranzakciók interneten keresztüli lebonyolítása - ehhez elegendő egy globális hálózathoz hozzáféréssel rendelkező számítógép és egy elektronikus digitális aláírás (EDS) kulcs, amelyet a bank regisztrált.
A távoli banki szolgáltatások lehetővé teszik a magánvállalkozások hatékonyságának növelését a tulajdonosok minimális erőfeszítésével. Ezzel biztosítható: időmegtakarítás (nem kell személyesen a bankba jönni, a fizetés bármikor megoldható); a munka kényelme (minden műveletet személyi számítógépről hajtanak végre ismerős üzleti környezetben); nagy sebességű fizetési feldolgozás (a bank üzemeltetője nem nyomtatja ki újra az adatokat papíralapú eredetiről, ami lehetővé teszi a beviteli hibák kiküszöbölését és a fizetési bizonylat feldolgozási idejének csökkentését); figyelemmel kíséri a dokumentum állapotát a feldolgozás folyamatában; információszerzés a számlákon lévő pénzeszközök mozgásáról.
A nyilvánvaló előnyök ellenére azonban az elektronikus fizetések Oroszországban még nem túl népszerűek, mivel a banki ügyfelek nem biztosak a biztonságukban. Ennek oka elsősorban az a széles körben elterjedt hiedelem, hogy a számítógépes hálózatokat könnyen "feltörhetik" egyes hackerek. Ez a mítosz szilárdan rögzült az emberi elmében, és a médiában rendszeresen megjelent hírek egy újabb weboldal elleni támadásokról tovább erősítik ezt a véleményt. De változnak az idők, és az elektronikus kommunikációs eszközök előbb-utóbb felváltják a nem készpénzes banki átutalást egyik számláról a másikra átutalni kívánó fizető személy személyes jelenlétét.
Véleményem szerint az elektronikus banki tranzakciók biztonsága ma már biztosítható. Ezt a modern kriptográfiai módszerek garantálják, amelyeket az elektronikus fizetési dokumentumok védelmére használnak. Először is, ez egy EDS, amely megfelel a GOST 34.10-94 szabványnak. 1995 óta sikeresen használják az Orosz Bankban. Kezdetben csak néhány régióban vezette be a régiók közötti elektronikus fizetési rendszert. Most az Orosz Föderáció minden régióját lefedi, és szinte lehetetlen elképzelni az Oroszországi Bank működését nélküle. Érdemes-e tehát kételkedni az EDS megbízhatóságában, ha annak használata bevált, és már így vagy úgy hazánk minden polgárát érinti?
A digitális aláírás a biztonság garanciája. A bank és az ügyfél között létrejött mintaszerződés értelmében az ügyfél számláin történő banki műveletek elvégzésének alapjául az EDS-en regisztrált, megfelelő számú jogosult személy elektronikus dokumentum alatti jelenléte szolgál. A 2002. január 10-i N 1-FZ "Az elektronikus digitális aláírásról" szóló szövetségi törvény előírja, hogy az EDS-t FAPSI-tanúsítvánnyal rendelkező szoftverrel kell előállítani és ellenőrizni. Az EDS-tanúsítvány garancia arra, hogy ez a program a GOST szabványoknak megfelelő kriptográfiai funkciókat hajt végre, és nem végez pusztító műveleteket a felhasználó számítógépén.
Az EDS elektronikus dokumentumhoz történő rögzítéséhez szükség van annak kulcsára, amely valamilyen kulcsfontosságú információhordozón tárolható. A modern kulcstartók ("e-Token", "USB-drive", "Touch-Memory") kulcstartó alakúak, és egy csomó közönséges kulcsban hordhatók. A hajlékonylemezek kulcsfontosságú információk hordozójaként is használhatók.
Minden egyes EDS-kulcs egy felhatalmazott személy kézzel írott aláírásának analógja. Ha egy szervezetnél a papíralapú "kifizetéseket" általában az igazgató és a főkönyvelő írja alá, akkor az elektronikus rendszerben a legjobb, ha ugyanazt az eljárást tartjuk fenn, és különböző EDS-kulcsokat biztosítunk a jogosult személyek számára. Azonban egy EDS is használható – ennek a ténynek tükröződnie kell a bank és az ügyfél közötti megállapodásban.
Az EDS kulcs két részből áll - zárt és nyitott. A nyilvános rész (nyilvános kulcs) a tulajdonos általi generálást követően kerül benyújtásra a Hitelesítés-szolgáltatóhoz, amelynek szerepét általában a bank tölti be. A nyilvános kulcsot, a tulajdonosára vonatkozó információkat, a kulcs célját és egyéb információkat a Hitelesítés-szolgáltató EDS-e írja alá. Így EDS-tanúsítvány keletkezik, amelyet regisztrálni kell a bank elektronikus elszámolási rendszerében.
Az EDS kulcs privát részét (titkos kulcsot) a kulcs tulajdonosa semmilyen körülmények között nem ruházhatja át más személyre. Ha a titkos kulcsot akár csak rövid időre is átadták egy másik személynek, vagy felügyelet nélkül hagyták valahol, akkor a kulcs "kompromittálódott"-nak minősül (azaz a kulcs másolásának vagy illegális használatának lehetőségére utal). Vagyis ebben az esetben az a személy, aki nem tulajdonosa a kulcsnak, lehetőséget kap arra, hogy aláírjon egy, a szervezet vezetése által nem engedélyezett elektronikus dokumentumot, amelyet a bank elfogad végrehajtásra és jogos lesz, mivel a a digitális aláírás megmutatja a hitelességét. Ebben az esetben minden felelősség kizárólag a kulcs tulajdonosát terheli. Az EDS tulajdonosának ebben a helyzetben hasonlónak kell lennie a szokásos műanyag kártya elvesztésekor végrehajtott intézkedésekhez: ennek a személynek tájékoztatnia kell a bankot az EDS-kulcs „kompromisszumáról” (elvesztéséről). Ekkor a bank letiltja ennek a digitális aláírásnak a tanúsítványát fizetési rendszerében, és a támadó nem tudja használni az illegális beszerzését.
A titkos kulcs jogosulatlan felhasználása a kulcson és bizonyos kulcshordozókon is felírt jelszó használatával is megakadályozható. Ez segít minimalizálni a károkat elvesztés esetén, hiszen jelszó nélkül a kulcs érvénytelenné válik, és a tulajdonosnak elegendő ideje lesz tájékoztatni a bankot EDS-je "kompromittálódásáról".
Gondoljuk át, hogyan veheti igénybe az ügyfél az elektronikus fizetési szolgáltatásokat, feltéve, hogy a bank telepítette az InterBank elektronikus banki szolgáltatások integrált megvalósítására szolgáló rendszert. Ha az ügyfél egyéni vállalkozó vagy egy kis kereskedelmi céget vezet, és rendelkezik internet-hozzáféréssel, akkor elég lesz kiválasztania a használni kívánt kriptográfiai védelmi rendszert (EDS és titkosítás). Az ügyfél telepítheti a "CryptoPro CSP" tanúsítvánnyal rendelkező szoftvert, vagy korlátozhatja magát a Microsoft Windowsba épített Microsoft Base CSP rendszerre.
Ha az ügyfél egy nagy cég, nagy pénzügyi forgalommal, akkor az InterBank másik alrendszere - "Windows Client" ajánlható neki. Segítségével az ügyfél önállóan karbantartja az elektronikus dokumentumok adatbázisát, és fizetési megbízásokat készíthet számítógépén anélkül, hogy a bankkal kommunikációt folytatna. Az összes szükséges dokumentum elkészítése után az ügyfél telefonon vagy dedikált adatátviteli vonalon csatlakozik a bankhoz.
Az InterBank komplexum másik szolgáltatása az ügyfél tájékoztatása bankszámlái állapotáról, árfolyamáról, egyéb referenciaadatok továbbítása hangkommunikáción, faxon vagy mobiltelefon képernyőjén.
Az elektronikus fizetés használatának kényelmes módja a fizetési bizonylatok jóváhagyása a vállalkozás felhatalmazott alkalmazottai által, akik egymástól jelentős távolságra vannak. Például a főkönyvelő elkészített és aláírt egy elektronikus fizetési bizonylatot. Az igazgató, aki éppen üzleti úton van egy másik városban vagy más országban, megtekintheti ezt a dokumentumot, aláírhatja és elküldheti a banknak. Mindezeket a műveleteket az "Internet-Client" alrendszer hajthatja végre, amelyhez a könyvelő és a vállalkozás igazgatója az interneten keresztül csatlakozik. Az adatok titkosítását és a felhasználói hitelesítést a szabványos protokollok egyike - SSL vagy TLS - végzi.
Tehát az elektronikus fizetés üzleti életben való alkalmazása jelentős előnyökkel jár a hagyományos szolgáltatással szemben. Ami a biztonságot illeti, azt egyrészt az EDS szabvány (GOST 34.10-94), másrészt az ügyfél felelőssége az aláírási kulcs tárolásáért biztosítja. Az EDS kulcsok használatára és tárolására vonatkozó ajánlásokat az ügyfél mindig megkaphatja a banktól, és ha betartja, akkor a fizetések megbízhatósága garantált.
4. személyes biztonságmagánszemélyek készpénzes fizetései
A legtöbb biztonsági rendszer az egyének személyes adatainak elvesztésének elkerülése érdekében megköveteli a felhasználótól annak megerősítését, hogy ő pontosan az, akinek állítja magát. A felhasználó azonosítása az alábbiak alapján történhet:
* tud bizonyos információkat (titkos kód, jelszó);
* van egy bizonyos tárgya (kártya, elektronikus kulcs, token);
* egyéni jellemzői vannak (ujjlenyomatok, kézforma, hangszín, retinamintázat stb.);
* tudja, hol és hogyan csatlakozik a speciális kulcs.
Az első módszer egy bizonyos kódsorozat beírását követeli meg a billentyűzeten - egy személyi azonosító számot (személyes azonosítószám - PIN). Ez általában egy 4-8 számjegyből álló sorozat, amelyet a felhasználónak meg kell adnia tranzakció során.
A második módszer szerint a felhasználó bemutat néhány konkrét azonosító elemet – egy nem másolható elektronikus eszközről, kártyáról vagy tokenről leolvasott kódokat.
A harmadik módszernél a személy egyéni jellemzői és fizikai jellemzői szolgálnak átadásként. Bármely biometrikus termékhez tartozik egy meglehetősen nagy adatbázis, amely tárolja a megfelelő képeket vagy a felismeréshez használt egyéb adatokat.
A negyedik módszer a berendezés be- vagy kapcsolásának speciális elvét foglalja magában, amely biztosítja annak működését (ezt a megközelítést meglehetősen ritkán használják).
A banki tevékenységben a legelterjedtebb személyazonosító eszközök, amelyeket a második csoportba soroltunk: egy bizonyos tárgy (kártya, elektronikus kulcs, token). Természetesen egy ilyen kulcs használata az azonosítás eszközeivel és módszereivel kombinálva történik, amelyeket az első csoportba soroltunk: információhasználat (titkos kód, jelszó).
Nézzük meg közelebbről a magánszemély azonosításának módjait a banki tevékenységben.
Műanyag kártyák.
Jelenleg több mint egymilliárd kártyát bocsátottak ki a világ különböző országaiban.. A leghíresebb közülük:
Visa (több mint 350 millió kártya) és MasterCard (200 millió kártya) hitelkártyák;
Nemzetközi csekkgaranciák Eurocheque és Posteheque;
Utazási és szórakoztató kártyák American Express (60 millió kártya) és Diners Club.
Mágneses kártyák
A banki tevékenységben a leghíresebb és legrégebb óta használt azonosítási eszköz a mágnescsíkos műanyag kártyák (sok rendszer lehetővé teszi a hagyományos hitelkártyák használatát). Az olvasáshoz egy kártyát (mágnescsíkot) kell húzni az olvasó (olvasó) nyílásán keresztül. Az olvasók általában külső eszközként készülnek, és soros vagy univerzális számítógép-porton keresztül csatlakoznak. Vannak billentyűzettel kombinált olvasók is. Az ilyen kártyáknak azonban vannak előnyei és hátrányai a használatuknak.
* a mágneskártya könnyen másolható a rendelkezésre álló berendezéseken;
* A szennyezés, a mágneses réteg enyhe mechanikai behatása, a kártya jelenléte erős elektromágneses mezők közelében a kártya károsodásához vezet.
Előnyök:
* az ilyen kártyák kiadásának és karbantartásának költsége alacsony;
* a mágneses plasztikkártyák ipara több évtizede fejlődik, és jelenleg a kártyák több mint 90%-a műanyag kártya;
* a mágneskártya használata indokolt a nagyon nagy felhasználószám és a gyakori kártyacsere (például szállodai szoba belépés) miatt.
Proximity kártyák
Valójában ez az elektronikus tokenek ötletének továbbfejlesztése. Ez egy érintés nélküli kártya (de lehet kulcstartó vagy karkötő is), amely egyedi kóddal ellátott chipet vagy rádióadót tartalmaz. Az olvasó egy speciális antennával van felszerelve, amely folyamatosan elektromágneses energiát bocsát ki. Amikor egy kártya belép ebbe a mezőbe, a kártya chipje áram alá kerül, és a kártya elküldi az egyedi kódját az olvasónak. A legtöbb olvasó számára a stabil választávolság néhány millimétertől 5-15 cm-ig terjed.
Intelligens kártyák
A mágneskártyáktól eltérően az intelligens kártya mikroprocesszort és érintkezőfelületeket tartalmaz az áramellátáshoz és az olvasóval való információcseréhez. Az intelligens kártya nagyon magas fokú biztonsággal rendelkezik. Még mindig ezzel függnek össze az ilyen kulcsok fejlesztésének fő kilátásai és a védelmi rendszerek sok fejlesztőjének reményei.
Az intelligens kártya technológia körülbelül húsz éve létezik és fejlődött, de csak az utóbbi néhány évben terjedt el. Nyilvánvaló, hogy az intelligens kártya nagy memóriakapacitásának és funkcionalitásának köszönhetően kulcsként és bérletként is működhet, és egyben bankkártya is lehet. A való életben a funkciók ilyen kombinációja ritkán valósul meg.
Az intelligens kártyával való munkához a számítógépet fel kell szerelni egy speciális eszközzel: beépített vagy külső kártyaolvasóval. Külső kártyaolvasók csatlakoztathatók a számítógép különböző portjaihoz (soros, párhuzamos vagy PS/2 billentyűzet port, PCMCIA slot, SCSI vagy USB).
Sok kártya különböző típusú (algoritmusokat) biztosít a hitelesítéshez. Az elektronikus felismerési folyamatban három fél vesz részt: a kártyahasználó, a kártya, a végberendezés (kártyaolvasó). A hitelesítésre azért van szükség, hogy a felhasználó, a végberendezés, amelybe a kártya be van helyezve, vagy a szoftveralkalmazás, amellyel a kártya paramétereit közöljük, a kártyán található adatokkal bizonyos műveleteket végezhessen. A hozzáférési szabályokat az alkalmazás fejlesztője rendeli hozzá, amikor adatstruktúrákat hoz létre a térképen.
Elektronikus tokenek
Manapság a különféle felhasználói vagy tulajdonosi azonosítást igénylő rendszerekben az elektronikus tokeneket (vagy úgynevezett token eszközöket) széles körben használják belépőként. Az ilyen token jól ismert példája az elektronikus "tabletta" (8.4. ábra). A "tabletta" kerek rozsdamentes acél tokban készült, és egy chipet tartalmaz, amelybe egyedi szám van írva. A felhasználói hitelesítést azután hajtják végre, hogy egy ilyen "táblagépet" hozzáérintettek egy speciális érintkezőeszközhöz, amely általában a számítógép soros portjához csatlakozik. Így engedélyezheti a belépést a helyiségbe, de engedélyezheti a számítógépen végzett munkát is, vagy blokkolhatja az illetéktelen felhasználókat, hogy a számítógépen dolgozzanak.
A kényelem érdekében a "tablettát" kulcstartóra rögzítheti, vagy műanyag héjba préselheti.
Jelenleg ezeket az eszközöket széles körben használják az elektromechanikus zárak (szobaajtók, kapuk, bejárati ajtók stb.) vezérlésére. Viszont a "számítógépes" használatuk is elég hatékony.
Mindhárom felsorolt kulcscsoport passzív jellegű. Nem végeznek aktív műveleteket, és nem vesznek részt a hitelesítési folyamatban, csak a tárolt kódot adják meg. Ez a fő területük.
A tokenek valamivel jobb kopásállósággal rendelkeznek, mint a mágneskártyák.
Következtetés
Így a banki információk védelmének problémája túl komoly ahhoz, hogy egy bank figyelmen kívül hagyja azt. A közelmúltban nagy számban figyelték meg a titkossági szint megsértését a hazai bankoknál. Ilyen például a kereskedelmi vállalatokról és magánszemélyekről szóló CD-ROM-okon található különféle adatbázisok nyilvános megjelenése. Hazánkban elméletileg létezik a banki információk védelmét biztosító jogi keret, de alkalmazása korántsem tökéletes. Eddig nem fordult elő olyan eset, hogy egy bankot megbüntettek információ nyilvánosságra hozatala miatt, amikor bármelyik céget azért büntették volna meg, mert megkísérelte volna bizalmas információk megszerzését.
Az információvédelem egy bankban összetett feladat, amely nem oldható meg csak banki programok keretében. A biztonság hatékony megvalósítása a banki programok működését támogató operációs rendszerek és hálózati rendszereszközök kiválasztásával és konfigurálásával kezdődik. A védelem biztosításának fegyelmező eszközei között két irányt kell megkülönböztetni: egyrészt ez a rendszerhasználók minimális kellő ismerete a rendszer felépítésének jellemzőiről; másrészt a felhasználók azonosítására és jogaik ellenőrzésére szolgáló többszintű eszközök megléte.
Fejlesztésének különböző pontjain az ABS különböző védelmi alkatrészekkel rendelkezett. Orosz körülmények között a bankrendszerek többségét a védelmi szint szempontjából az első és második szintű védelmi komplexitású rendszereknek kell tulajdonítani:
1. szint - az operációs rendszerek és a hálózati programok szabványos eszközei által biztosított szoftvereszközök használata;
2. szint - biztonsági szoftverek használata, információ kódolás, hozzáférési kódolás.
A fentieket összefoglalva arra a következtetésre jutottam, hogy a bankszektorban dolgozva biztosnak kell lennie abban, hogy a vállalati és kereskedelmi információk zárva maradnak. Azonban nem csak a dokumentáció és egyéb gyártási információk védelmére kell ügyelni, hanem a gép hálózati beállításaira és hálózati működési paramétereire is.
Az információvédelem feladata egy bankban sokkal nehezebb, mint más szervezeteknél. Egy ilyen probléma megoldása védelmet nyújtó szervezeti, rendszerszintű intézkedések tervezésével jár. Ugyanakkor a védelem tervezése során figyelembe kell venni a szükséges védelmi szint és az a szint közötti mértéket, amikor a védelem zavarni kezdi a személyzet normál munkáját.
melléklet 1. sz
Egy tipikus ASOIB személyzetének listája és mindegyikük kockázatának mértéke:
1. Legnagyobb kockázat: rendszervezérlő és biztonsági rendszergazda.
2. Megnövekedett kockázat: rendszerkezelő, adatbeviteli és -előkészítési operátor, feldolgozásvezető, rendszerprogramozó.
3. Átlagos kockázat: rendszermérnök, szoftvermenedzser.
4. Korlátozott kockázat: alkalmazásprogramozó, kommunikációs mérnök vagy operátor, adatbázis-adminisztrátor, berendezésmérnök, periféria-kezelő, rendszermágneses adathordozó-könyvtár, felhasználói programozó, felhasználói kezelő.
5. Alacsony kockázatú: periféria mérnök, felhasználó mágneses média könyvtáros, hálózati felhasználó.
Rizs. 1 db mágneskártya
Rizs. 2 Proximity kártya
Rizs. 4 Elektronikus token
2. melléklet
|
A Visa és a MasterCard veszteségstatisztikái |
||
|
Részesedés az összes veszteségből, % |
||
|
Eladó csalás |
||
|
Ellopott kártyák |
||
|
Hamis kártyák |
||
|
A térkép domborművének megváltoztatása |
||
|
Elveszett kártyák |
||
|
Helytelen alkalmazás |
||
|
Telefonos csalás |
||
|
Levéltovábbítási csalás |
||
|
Postai csalás |
||
|
Szállítás közbeni lopás |
||
|
Összejátszás a kártyabirtokossal |
||
Az Allbest.ru oldalon található
Az információbiztonság szándékos fenyegetésének típusai. Az információvédelem módszerei és eszközei. Az információbiztonság biztosításának módszerei, eszközei. Az információvédelem kriptográfiai módszerei. Komplex védelmi eszközök.
absztrakt, hozzáadva: 2004.01.17
Az információbiztonság problémája. Az információvédelem jellemzői a számítógépes hálózatokban. Fenyegetések, támadások és információszivárgási csatornák. A biztonság biztosításának módszereinek és eszközeinek osztályozása. Hálózati architektúra és védelme. Hálózatbiztonsági módszerek.
szakdolgozat, hozzáadva: 2012.06.16
Az információs adatok védelmének módszerei és eszközei. Védelem az információkhoz való jogosulatlan hozzáférés ellen. A számítógépes rendszerek kriptográfiai módszerekkel történő védelmének jellemzői. Kritériumok az információs számítógépes technológiák biztonságának értékeléséhez az európai országokban.
teszt, hozzáadva: 2010.08.06
Magánszemélyek elektronikus és személyes banki fizetésének biztonsági elvei. Információátviteli és -védelmi technológiák megvalósítása; a szoftver- és hardverkörnyezet fejlesztésének szisztematikus megközelítése: információ és hozzáférés kódolása; titkosítás, kriptográfia.
absztrakt, hozzáadva: 2013.05.18
Távközlési rendszerek információbiztonsága. Információbiztonsággal kapcsolatos problémák. A biztonsági elemzés technológiája, a behatoló hatásának észlelése, az információk védelme a jogosulatlan hozzáféréstől, vírusvédelem. Adatbank kialakítása.
absztrakt, hozzáadva: 2009.02.27
Az információbiztonság biztosításának legfontosabb szempontjai. Az információfeldolgozás technikai eszközei, dokumentációhordozói. A jogosulatlan információszerzés tipikus módjai. Az elektronikus aláírás fogalma. Az információ védelme a pusztulástól.
absztrakt, hozzáadva: 2015.07.14
Az információk illetéktelen hozzáférés elleni védelmének módszerei és eszközei. Az információvédelem jellemzői a számítógépes hálózatokban. Kriptográfiai védelem és elektronikus digitális aláírás. Módszerek az információk számítógépes vírusokkal és hackertámadásokkal szembeni védelmére.
absztrakt, hozzáadva: 2011.10.23
Információbiztonság, a védelmi rendszer elemei. destabilizáló tényezők. Az információbiztonsági fenyegetések osztályozása az előfordulás forrása szerint, a célok jellege szerint. Megvalósításuk módjai. Az információvédelem szintjei. A védelmi rendszerek létrehozásának szakaszai.
bemutató, hozzáadva 2015.12.22
Új információs technológiák fejlesztése és általános számítógépesítés. Információ biztonság. Az információbiztonságot érintő szándékos fenyegetések osztályozása. Az információvédelem módszerei és eszközei. Az információvédelem kriptográfiai módszerei.
szakdolgozat, hozzáadva: 2004.03.17
Információvédelem és információbiztonság alapfogalmai. Osztályozás és tartalom, források és előfeltételek az információkat fenyegető lehetséges veszélyek megjelenéséhez. Az információs fegyverek elleni védekezés főbb irányai (hatás), hálózatbiztonsági szolgáltatások.
Melyek azok a főbb problémák a biztonság területén, amelyeket jelenleg kiemel, mind az információbiztonság, mind az üzleti biztonság szempontjából?
Andrey Bogoslovskikh, a Rosbank Információs Technológiai Igazgatóságának igazgatója: A hacker közösség középpontjában a távoli banki rendszerek technológiáihoz igazodó rosszindulatú kódok létrehozása áll. Jelszavak és kulcsfontosságú információk ellopása fertőzött ügyfélszámítógépekről.
Konstantin Medencev, a Moszkvai Újjáépítési és Fejlesztési Bank információs technológiákért felelős alelnöke: Az információbiztonság fő feladata az információs infrastruktúra védelmének biztosítása és javítása. Az információs technológiát egyre gyakrabban használják bűnözési célokra. A technológia egyre hozzáférhetőbbé válik, az információs rendszerek elleni támadások költségei csökkennek, miközben az elektronikus információforrások védelme egyre drágább. Az információs rendszerek segítségével a hitelintézetek jelentősen csökkenthetik az ügyfélszolgálati költségeket, ami viszont megnöveli a profitot. A szabályozók által támasztott követelmények teljesítésére szolgáló mechanizmusok azonban a banki szolgáltatások költségeinek jelentős emelkedéséhez vezetnek. Minél magasabb az adatvédelem szintje, természetesen annál nehezebb megszerezni őket, mivel a megfelelő automatizált rendszerek architektúrája bonyolultabbá válik. Ebben a tekintetben fontos megtalálni egy olyan integrált megközelítést vagy cselekvési algoritmust, amelynek végrehajtása lehetővé teszi a jogszabályi követelmények teljesítését, ugyanakkor nem befolyásolja hátrányosan a bank tevékenységét, és nem vezet költségnövekedéshez. termékek és szolgáltatások a fogyasztó számára.
Vladilen Novoszeletszkij, a BINBANK információbiztonsági osztályának vezetője: A fő probléma az információbiztonság korlátozott finanszírozása. Ez nagyban meghatározza az összes többi problémát.
A második probléma az olyan szabadságfokú vállalkozás választása, amely egyrészt nem engedi, hogy a gonosztevők tönkretegyék az üzletet, másrészt nem fojtja meg az üzletet. Nyilvánvalóan nem lesznek információbiztonsági incidensek, ha mindent betiltanak. De akkor nem fog fejlődni az üzlet. Ezért meg kell találni az egyensúlyt a vállalkozáshoz szükséges cselekvési szabadság és az információbiztonság biztosításához szükséges korlátozási rendszer között.
A harmadik probléma a kívánt funkcionalitással rendelkező információbiztonsági eszköz kiválasztásának problémája, amely nem gyakorol észrevehető negatív hatást a védett eszközre (a funkcionalitás és a kompatibilitás problémája). Sok SZI van a piacon, de ... papíron sima volt.
A negyedik probléma a jogi – a tevékenységek engedélyezése CIPF használatával, a CIPF tanúsítása és az automatizálási objektumok tanúsítása. Az oroszországi FSTEC (Oroszország FSB) közül az információbiztonsági létesítmények többsége elavult. Ezért az információbiztonsági létesítmény kiválasztásakor felmerül a dilemma: a szövetségi törvény követelményeinek teljesítése tanúsított, de elavult információbiztonsági létesítmény megvásárlásával. Vagy vásárolja meg a legújabb fejlesztésű információvédelmi rendszert, és ennek megfelelően hatékonyabb, de nem tanúsított. Ha az információbiztonsági rendszer nem tanúsított verzióját választják ki és már megvásárolják, akkor annak utólagos tanúsítása egyszerű vályúvá válik az ebben részt vevő szervezetek számára. A tanúsítás során az információbiztonsági rendszer nem javul, hanem jóval drágább lesz. És ha a tanúsítás eredménye negatív, akkor mi a teendő ezzel az információbiztonsági eszközzel? Vissza az eladóhoz?
Oleg Podkopaev, a Rusfinance Bank informatikai igazgatója: Mint mindig, a szervezet és a vállalkozás információbiztonságának fő veszélye a bennfentes. És bár a bennfentes cselekedetek következményei általában kevésbé láthatóak explicit formában, sőt néha egyszerűen nem is láthatók - pontosan ez a fő veszélyük. Az ügyfélkör kompromittálása például a közvetlen jogi kockázatok mellett az üzletmenet visszaeséséhez, piaci részesedés elvesztéséhez vezet, a következmények pedig csak akkor válnak láthatóvá, ha már késő bármit is tenni. Ennek megfelelően a fő erőfeszítéseket a megelőző intézkedésekre kell irányítani az ilyen szivárgás megelőzésére vagy időben történő észlelésére.
Alexander Turkin, a BINBANK Ellenőrzési és Információs Támogatási Központjának vezetője: Az informatizálási objektumok hitelesítésénél a kép a következő: bármilyen változtatás esetén az objektumot újra kell minősíteni. De a bankban folyamatosan történnek változások! Mind a számítógépes hardver, mind a szoftver változik, ahogy a munka technológiája is. Így formálisan a tanúsítás/újratanúsítás egy folyamatos, végtelen folyamattá válik végtelen költségekkel.
Mint ismeretes, az Orosz Föderáció kormányának 2007. december 29-i 957. számú rendelete hatálya alá tartozó kriptográfiai információvédelmi eszközök használatára vonatkozóan, amely jóváhagyta a titkosítási (kriptográfiai) eszközökkel kapcsolatos bizonyos típusú tevékenységek engedélyezéséről szóló szabályzatot, Az orosz Szövetségi Biztonsági Szolgálat engedélye szükséges. De akkor nem csak a banknak, hanem az Ügyfél-Bank rendszer minden ügyfelének is szüksége van rájuk. Hasonlóképpen, a Szövetségi Adószolgálattal, a Nyugdíjalappal stb. működő elektronikus csererendszerek minden ügyfele számára. Kiderült, hogy az ország legtöbb szervezetének szüksége van az orosz FSB engedélyére.
Jevgenyij Sevcov, a CJSC JSCB NOVIKOMBANK alelnöke: A hitel- és pénzügyi szervezetek manapság egyre gyakrabban szembesülnek a létező fenyegetések széles skálájával, mint például a számítógépes csalás, a számítógépes vírusok, a számítógépes rendszerek feltörése, a szolgáltatás megtagadása stb. E szervezetek, különösen bankunk nagymértékben függenek az információforrásoktól, a vállalati hálózatok és a nyilvános hozzáférési hálózatok konszolidációja, az információforrások megosztása növeli az ilyen fenyegetésekkel szembeni sebezhetőséget. Mivel a bankban meglévő információs rendszereket eredetileg nem az elvárt biztonsági szinttel tervezték, az információbiztonság biztosításának lehetőségei a legtöbb esetben korlátozottak.
A vezetőség és a biztonsági szolgálat előtt álló legfontosabb probléma az információbiztonságot fenyegető belső fenyegetések, más szóval az információk bennfentesekkel szembeni védelmének problémája.
Ezért ma már mind információbiztonsági, mind üzleti biztonság szempontjából létfontosságú egy átfogó információbiztonsági rendszer, amely nemcsak technikai, hanem szervezeti erőforrásokat is magában foglal, amelynek létrehozása sokkal olcsóbban kerülhet a banknak, mint a megszüntetése. az IS fenyegetéseinek következményeiről.
Változott-e a bank informatikai osztálya és a biztonsági szolgálat kapcsolatának jellege a válság hatására? Történt-e a felelősségek és funkciók újraelosztása? Hogyan?
Andrej Bogoslovskikh: A válság nem változtatott az IT és a biztonság kapcsolatán.
Konstantin Medencev: A pénzügyi-gazdasági válság jelentős hatással volt az üzletvitel jellegére, ami esetenként a hitelintézetek szerkezetében is érezhető változásokhoz vezetett, akár a feladatok osztályok közötti csökkentésével, akár újraelosztásával. Információbiztonsági szempontból a fő kapcsolódó részlegekkel, nevezetesen az informatikai részlegekkel. A megfigyelések azt mutatják, hogy számos esetben megtörténik az információbiztonsági rendszerek üzemeltetésével kapcsolatos funkciók információtechnológiai egységekhez való átadása. Ennek az újraelosztásnak az üzleti tevékenység egészére gyakorolt negatív hatása azonban alapvetően csak akkor nyilvánulhat meg, ha a kapcsolódó részlegek interakciójára vonatkozó eljárások azonnali kiigazítása nem történik meg. Az interakciós eljárások kompetens leírása esetén ennek az újraelosztásnak nincs negatív hatása.
Vladilen Novoszeletszkij: A személyes adatokról szóló törvény hatálybalépésével összefüggésben a kapcsolat jellegének az információbiztonság irányába kellett volna változnia. De nem változott. Lehetséges, hogy ehhez leginkább a válság járult hozzá.
Oleg Podkopaev: A válság önmagában természetesen nem érintette az ilyen kapcsolatokat, hiszen más volt a lényege. A banki részlegek közötti interakció szempontjából azonban az intézkedések összehangoltabbá váltak. Nagyobb mértékben befolyásolták a szabályozói követelmények, amelyek megvalósítása az informatikai és biztonsági szolgáltatások egyértelműbb interakcióját igényli. A funkciók elosztása ugyanakkor nem változik: az információbiztonsági egységek szabályozó és felügyeleti szervek a bankon belül, az informatika az információbiztonság megvalósítására és biztosítására szolgál.
Jevgenyij Sevcov: Az interakció jellege nem változott. Az osztályok feladatai és funkciói változatlanok maradtak, amelyet a Bank szabályozó dokumentumai határoztak meg.
Hogyan értékeli a szabályozó szerepét a banki információbiztonság területén? Mennyire hasznosak különösen azok a lépések, amelyeket az Orosz Föderáció Központi Bankja tesz a jogalkotás terén?
Andrej Bogoslovskikh: A Bank of Russia IS szabványokat dolgoz ki, ezek tanácsadó jellegűek (nem jogalkotási terület). A pontszám kettős. Egyrészt hasznosak az Orosz Föderáció Központi Bankjának IS szabványai, mivel a modern nemzetközi IS szabványokon alapulnak. Viszont sok vita van bennük, hiszen ezek is elavult módszereken és az Állami Műszaki Bizottság (FSTEC) utasításán alapulnak.
Konstantin Medencev: A Központi Bank erőfeszítései nem maradhatnak figyelmen kívül. A jegybank információbiztonsági szabályozási és módszertani kereteinek kialakításában fontos mérföldkő volt számos szabályozó dokumentum megjelenése. Ilyen például a „Módszertan az STO BR IBSS-1.0-2008 követelményeinek való megfelelés értékeléséhez az információbiztonsághoz” és „Az információbiztonsági megsértések kockázatának értékelésének módszertana”.
Oleg Podkopaev:Úgy gondolom, hogy az Orosz Föderáció Központi Bankja teljesen helyesen cselekszik, hozzászoktatva a bankokat az információbiztonsági terület lehetséges szabályozásának gondolatához. Ez ráadásul nagyon ésszerűen történik, először ajánlások és önértékelési módszerek kiadásával, információbiztonsági audit pilotok lebonyolításával, majd csak ezután - és ez idő kérdése - kötelező követelmények bevezetésével.
Alexander Turkin: Három szabályozó hatóságunk van az információbiztonság területén: az Orosz Föderáció Központi Bankja, az orosz FSTEC és az orosz FSB. A jegybank törvényalkotási szférában tett lépései a bankok érdekeit szolgálják, így mindenképpen hasznosak a bankok számára, de az idő eldönti, mennyire lesznek hatékonyak. Egyelőre úgy tűnik, hogy lesz némi hatás, bár lehet, hogy kisebb lesz, mint szeretnénk. Egy év halasztást kaptunk, és az orosz FSTEC négy dokumentumáról eltávolította a forgácslap bélyegzőt - már jó. Ugyanakkor szeretném hangsúlyozni, hogy az Oroszországi Bank szerepe ebben a kérdésben kétségtelenül pozitív. Andrei Petrovich Kurilo meghívására beléptünk az ARB munkacsoportjába a 152-FZ törvény alapján. A Munkacsoport ülésein megszületett, a személyes adatokkal kapcsolatos jogszabályjavítási javaslatok, észrevételek úgy gondolom, jelentős mértékben hozzájárultak az általános kincstárhoz.
Jevgenyij Sevcov: A fő dokumentum, amely a bank információbiztonsági szolgálatát irányítja tevékenységében, az Oroszországi Bank szabványa: „Az Orosz Föderáció bankrendszerének szervezeteinek információbiztonságának biztosítása. Általános rendelkezések” (STO BR IBBS-1.0-2008). Arra számítunk, hogy a dokumentum új verziója az orosz pénzintézetek iparági szabványává válik.
A 152-FZ törvény előírásainak teljes körű hatálybalépése. Mennyire készek erre ma a bankok? Mi ad egy éves késést, ami sikerült?
Andrej Bogoslovskikh: A bankok nem állnak készen. Egy éves késés nem sokat ér. A PD banki és kereskedelmi titkoknál erősebb védelme nonszensz.
Konstantin Medencev: Annak ellenére, hogy a „Személyes adatokról” szóló szövetségi törvényt 2006-ban fogadták el, a személyes adatvédelmi rendszerek kiépítésének folyamatait szabályozó szabályozási és módszertani dokumentumokat jóval később tették közzé. Figyelembe véve a védelmi rendszerek megvalósításának jelentős pénzügyi költségeit, a személyes adatok feldolgozóinak túl kevés idejük marad ezek megvalósítására. Ebből a szempontból nagyon jól jött az egy éves késés.
Oleg Podkopaev: Természetesen senki, beleértve a bankokat, nincs teljesen felkészülve a 152-FZ törvény bevezetésére. Ráadásul a szabályozók nincsenek készen, ami általánosságban meghatározta a határidők elhalasztásának lehetőségét. Sőt, itt nem annyira az üzemeltetők, mint inkább a jogalkotók részéről egy éves késedelemre van szükség ahhoz, hogy a törvény és a vonatkozó szabályozások gyakorlati megvalósítása során megfogalmazott szükséges módosításokat megtegyék. Ez szerintem 2010 folyamán megtörténik. Világosabbá válik az is, hogy mit és hogyan kell csinálni, a követelmények jobban összhangba kerülnek a valósággal, és végül a tanácsadók tapasztalatot szereznek a „pilot” projektek megvalósításában.
Alexander Turkin: Itt az egyik probléma a szövetségi törvény és a szabályzat értelmezése. Ha formálisan és szigorúan közelítik meg, akkor a bankok nincsenek készen, és egy év késés sem változtat alapjaiban a helyzeten. Ha számos követelményt a gyengülésük irányába igazítanak, akkor a készültség foka nő.
Jevgenyij Sevcov: Az egy éves halasztás lehetőséget ad arra, hogy pénzt takarítson meg ezen követelmények teljesítésével.
A távoli banki szolgáltatások fejlesztésével és a bankok ilyen irányú aktív fejlesztésének terveivel kapcsolatban mennyire súlyosak a banki weboldalakat ért DDOS-támadások, az adathalászat és az RBS-csatornákat érő egyéb fenyegetések?
Andrej Bogoslovskikh: A DDoS veszélye komoly, nem önmagában, hanem a csalárd tranzakciók ellopott ügyféladatok segítségével történő elrejtésének eszközeként.
Konstantin Medencev: Mint már említettük, az információs technológia fejlődése hatással van a bűnügyi szférára. A távoli banki rendszerek azonban, ha megfelelően vannak megtervezve, egészen magabiztosan képesek ellenállni bizonyos típusú fenyegetéseknek. A jelenleg meglévő hálózati tevékenység figyelő eszközök lehetővé teszik a DDOS támadások forrásának viszonylag gyors azonosítását, és egyúttal megakadályozzák magának a távoli bankrendszer technikai eszközeinek károsodását. A kulcsfontosságú információk jogosulatlan felhasználásával kapcsolatos problémákat azonban kevés megkerülte. Ezt a jelenséget csak a hitelintézetek közös erőfeszítésével - a kriptográfiai eljárások végrehajtásának fejlettebb mechanizmusaival, illetve maguk az ügyfelek részéről - az információbiztonsági ajánlások szigorú betartásával lehet kizárni.
Alexander Turkin: A probléma az egyik legsúlyosabb. Egyes bankok rengeteg információt halmoztak fel az ilyen fenyegetések forrásairól. Konszolidációja valószínűleg jelentősen növelheti a közzétételi arányt ezen a területen. De nincs egyetlen tömörítő rendészeti szerv sem, aki érdeklődne az ilyen információk iránt. És mindez annak ellenére, hogy az Orosz Föderáció információbiztonsági doktrínája ezt a fenyegetést súlyosnak tekinti az ország gazdaságára nézve.
Jevgenyij Sevcov: Ezt a problémát komolynak tartom. A banknak olyan eszközökre van szüksége, amelyek megakadályozzák az ilyen támadásokat a cselekvés kezdeti szakaszában. És nem csak megelőzni, hanem védeni is.
Milyen főbb problémákat/fenyegetéseket lát tevékenységének információbiztonság terén a közeljövőben - 2010-ben?
Andrej Bogoslovskikh: Az FSB és az FSTEC által a személyes adatok védelmére vonatkozó módszertani ajánlások követelményeinek való megfelelés. Távoli banki csatornákat használó csalás irányának kialakítása.
Konstantin Medencev: A technológiai fejlődés folyamatosan halad előre. Amint azt korábban jeleztük, az információs technológia behatolása a bűnügyi szférába felgyorsult. E tekintetben úgy tűnik, hogy a hitelintézetek tevékenységének információbiztonságát fenyegető veszélyek száma csak növekedhet. Ezek természetéről és következményeiről azonban csak az idő adhat részletesebb értékelést.
Vladilen Novoszeletszkij: A fő probléma az, hogy a bankot összhangba hozzák a „Személyes adatokról szóló törvénnyel”, és a fő veszély az, hogy ezt a problémát félreértik vagy félreértik mindazok részéről, akiktől a megoldás függ.
Jevgenyij Sevcov: A személyes adatvédelmi rendszer kialakításának részeként fontolja meg a bank információforrásainak integrált biztonsági rendszerének megszervezését.
Becslés:
A banki tevékenység mindig is nagy mennyiségű bizalmas adat feldolgozásával és tárolásával járt. Először is ezek személyes adatok az ügyfelekről, a betéteikről és az összes végrehajtott tranzakcióról.
A hitelintézetek által tárolt és feldolgozott összes kereskedelmi információ sokféle kockázatnak van kitéve vírusokkal, hardverhibákkal, operációs rendszer hibáival stb. De ezek a problémák nem okozhatnak komoly károkat. Az adatok napi biztonsági mentése, amely nélkül egy vállalkozás információs rendszerének működése elképzelhetetlen, minimálisra csökkenti a helyrehozhatatlan információvesztés kockázatát. Ezen túlmenően jól kidolgozott és széles körben ismert védelmi módszerek e fenyegetésekkel szemben. Ezért előtérbe kerülnek a bizalmas információkhoz való jogosulatlan hozzáféréssel (UAI) kapcsolatos kockázatok.
Az illetéktelen hozzáférés valóság
A mai napig a bizalmas információk ellopásának három leggyakoribb módja. Először is, fizikai hozzáférés a tárolási és feldolgozási helyekhez. Itt sok lehetőség van. Például a támadók éjszaka betörhetnek egy banki irodába, és ellophatják az összes adatbázist tartalmazó merevlemezt. Akár fegyveres razzia is lehetséges, aminek nem a pénz a célja, hanem az információ. Lehetséges, hogy a banki alkalmazott maga viheti ki az adathordozót a területről.
Másodszor, biztonsági mentések használata. A legtöbb bankban a fontos adatok biztonsági mentési rendszerei szalagos meghajtókon alapulnak. Az általuk készített másolatokat mágnesszalagokra rögzítik, amelyeket aztán külön helyen tárolnak. Az ezekhez való hozzáférést sokkal finomabban szabályozzák. Szállításuk és tárolásuk során viszonylag sok ember tud róluk másolatot készíteni. Az érzékeny adatok biztonsági mentésével kapcsolatos kockázatokat nem lehet alábecsülni. Például a legtöbb szakértő biztos abban, hogy az Orosz Föderáció Központi Bankjának 2005-ben eladásra került feljegyzéseinek adatbázisait pontosan a mágnesszalagokról vett másolatoknak köszönhetően lopták el. A világgyakorlatban sok ilyen esemény van. Tavaly szeptemberben például a Chase Card Services (a JPMorgan Chase & Co. részlege), egy hitelkártya-szolgáltató alkalmazottai tévedésből kidobtak öt biztonsági szalagot, amelyek 2,6 millió Circuit City hitelszámla-tulajdonos adatait tartalmazták.
Harmadszor, a bizalmas információk kiszivárogtatásának legvalószínűbb módja a banki alkalmazottak illetéktelen hozzáférése. Ha csak szabványos operációs rendszer-eszközöket használnak a jogok elkülönítésére, akkor a felhasználóknak gyakran lehetőségük nyílik arra, hogy közvetetten (bizonyos szoftverek segítségével) teljesen lemásolják és a cégen kívülre vigyék az általuk használt adatbázisokat. Néha az alkalmazottak ezt minden rosszindulatú szándék nélkül teszik, csak azért, hogy otthon dolgozzanak az információkkal. Az ilyen cselekmények azonban súlyosan megsértik a biztonsági politikát, és a bizalmas adatok nyilvánosságra hozatalának indokaivá válhatnak (és azzá válhatnak!).
Ezen túlmenően, bármely bankban van egy csoport magas jogosultságokkal rendelkező ember a helyi hálózaton. Rendszergazdákról beszélünk. Egyrészt szükségük van rá hivatali feladataik ellátásához. De másrészt lehetőségük van bármilyen információhoz hozzáférni, és "elfedni a nyomaikat".
Így a banki információk jogosulatlan hozzáféréssel szembeni védelmét szolgáló rendszernek legalább három alrendszerből kell állnia, amelyek mindegyike védelmet nyújt a saját típusú fenyegetésekkel szemben. Ezek az adatok fizikai hozzáférése elleni védelmi alrendszer, a biztonsági mentések biztonságát biztosító alrendszer és a bennfentesek elleni védelem alrendszere. És tanácsos egyiket sem elhanyagolni, hiszen minden fenyegetés bizalmas adatok nyilvánosságra hozatalát okozhatja.
Bankok a törvény nincs megírva?
Jelenleg a bankok tevékenységét a bankokról és a banki tevékenységről szóló szövetségi törvény szabályozza. Többek között bevezeti a „banktitok” fogalmát. Eszerint minden hitelintézet köteles gondoskodni az ügyfelek betéteire vonatkozó valamennyi adat bizalmas kezeléséről. Felelős azok nyilvánosságra hozataláért, beleértve az információszivárgás által okozott kár megtérítését. Ugyanakkor a banki információs rendszerek biztonságát illetően nincsenek követelmények. Ez azt jelenti, hogy a bankok minden döntést a kereskedelmi adatok védelmével kapcsolatban saját maguk hozzák meg, szakembereik vagy harmadik fél (például információbiztonsági auditot végző) cégei tapasztalatai alapján. Az egyetlen ajánlás az Orosz Föderáció Központi Bankjának szabványa „Az Orosz Föderáció bankrendszerének szervezeteinek információbiztonságának biztosítása. Általános rendelkezések". 2004-ben jelent meg először, 2006-ban pedig új verziót fogadtak el. A tanszéki dokumentum elkészítésekor és véglegesítésekor a jelenlegi orosz és nemzetközi információbiztonsági szabványokat használtuk.
Az Orosz Föderáció Központi Bankja csak ajánlani tudja más bankoknak, de nem ragaszkodhat a kötelező végrehajtáshoz. Ezenkívül a szabványban kevés olyan egyértelmű követelmény található, amely meghatározza az egyes termékek kiválasztását. Természetesen fontos, de jelenleg nincs komoly gyakorlati jelentősége. Például a tanúsított termékekről ez áll: "...alkalmazhatók tanúsított vagy engedélyezett eszközök az információk illetéktelen hozzáféréstől való védelmére." Nincs megfelelő lista.
A szabvány felsorolja a banki információvédelmet szolgáló kriptográfiai eszközökre vonatkozó követelményeket is. És itt már van egy többé-kevésbé egyértelmű meghatározás: "A CIPF-et olyan algoritmusok alapján kell végrehajtani, amelyek megfelelnek az Orosz Föderáció nemzeti szabványainak, a partnerrel kötött szerződés feltételeinek és (vagy) a szabványoknak. a szervezettől." A kriptográfiai modul GOST 28147-89 szabványnak való megfelelését tanúsítással lehet megerősíteni. Ezért a banki titkosítási rendszerek használatakor kívánatos az Orosz Föderáció Szövetségi Biztonsági Szolgálata által hitelesített szoftver- vagy hardver-kriptoszolgáltatók használata, azaz olyan külső modulok használata, amelyek a szoftverhez csatlakoznak, és magát a titkosítási folyamatot hajtják végre.
Tavaly júliusban elfogadták az Orosz Föderáció "A személyes adatokról" szóló szövetségi törvényét, amely 2007. január 1-jén lépett hatályba. Egyes szakértők a banki biztonsági rendszerekre vonatkozó konkrétabb követelmények megjelenését hozták összefüggésbe, mivel a bankok személyes adatokat feldolgozó szervezetek. Maga a törvény azonban, amely általában nagyon fontos, jelenleg nem alkalmazható a gyakorlatban. A probléma abban rejlik, hogy hiányoznak a magánadatok védelmére vonatkozó szabványok és nincsenek olyan szervek, amelyek ellenőrizni tudnák azok végrehajtását. Vagyis kiderült, hogy jelenleg a bankok szabadon választhatnak rendszereket a kereskedelmi információk védelmére.
Fizikai hozzáférés védelem
A bankok hagyományosan nagy hangsúlyt fektetnek a működő irodák, letétkezelők és hasonlók fizikai biztonságára. Mindez csökkenti a kereskedelmi információkhoz való jogosulatlan hozzáférés kockázatát fizikai hozzáférés révén. A bankok irodái és azok a technikai helyiségek azonban, ahol a szerverek találhatók, általában nem különböznek a védelem mértékét tekintve más cégek irodáitól. Ezért a leírt kockázatok minimalizálása érdekében kriptográfiai védelmi rendszert kell alkalmazni.
Manapság számos olyan segédprogram létezik a piacon, amelyek titkosítják az adatokat. A banki feldolgozásuk sajátosságai azonban további követelményeket támasztanak a megfelelő szoftverrel szemben. Először is a transzparens titkosítás elvét kell megvalósítani a kriptográfiai védelmi rendszerben. Használata során a főtárban lévő adatok mindig csak kódolt formában vannak. Ezenkívül ez a technológia lehetővé teszi az adatokkal végzett rendszeres munka költségeinek minimalizálását. Nem kell minden nap visszafejteni és titkosítani őket. Az információkhoz való hozzáférés a szerverre telepített speciális szoftver segítségével történik. Hozzáféréskor automatikusan visszafejti az információkat, és titkosítja, mielőtt a merevlemezre írná. Ezeket a műveleteket közvetlenül a szerver RAM-jában hajtják végre.
Másodszor, a banki adatbázisok nagyon nagyok. Így egy kriptográfiai információvédelmi rendszernek nem virtuális, hanem valós merevlemez-partíciókkal, RAID-tömbökkel és egyéb szerver adathordozókkal, például SAN-tárolókkal kell működnie. Az a tény, hogy a rendszerhez virtuális lemezként csatlakoztatható tárolófájlokat nem úgy tervezték, hogy nagy mennyiségű adattal működjenek. Abban az esetben, ha egy ilyen fájlból létrehozott virtuális lemez nagy, amikor akár többen is hozzáférnek egyidejűleg, akkor az információk olvasási és írási sebességének jelentős csökkenése figyelhető meg. Több tucat ember munkája egy nagy konténerfájllal igazi kínszenvedéssé fajulhat. Ezenkívül ügyeljen arra, hogy ezeket az objektumokat vírusok, fájlrendszer-összeomlások stb. veszélye fenyegeti. Végül is ezek közönséges fájlok, de meglehetősen nagy méretűek. És még egy enyhe változtatás is ahhoz vezethet, hogy nem lehet dekódolni a benne található összes információt. Mindkét kötelező követelmény jelentősen leszűkíti a védelem megvalósítására alkalmas termékek körét. Valójában ma már csak néhány ilyen rendszer van az orosz piacon.
A kriptográfiai információvédelmet szolgáló szerverrendszerek műszaki jellemzőit nem szükséges részletesen megvizsgálni, hiszen ezeket a termékeket már az előző számok egyikében összehasonlítottuk. ( Stolyarov N., Davletkhanov M. UTM-védelem.) De érdemes megjegyezni az ilyen rendszerek néhány jellemzőjét, amelyek jelenléte kívánatos a bankok számára. Az első a használt kriptográfiai modul már említett tanúsításához kapcsolódik. A megfelelő szoftver vagy hardver már elérhető a legtöbb bankban. Ezért a szerver információvédelmi rendszernek biztosítania kell azok összekapcsolásának és felhasználásának lehetőségét. A második speciális követelmény az információbiztonsági rendszerrel szemben az iroda és/vagy szerverterem fizikai biztonsági rendszerébe való integrálhatóság. Ez lehetővé teszi az információk védelmét a lopással, hackeléssel stb. kapcsolatos jogosulatlan hozzáféréstől.
A bankokban kiemelt figyelmet kell fordítani az információbiztonságra, hiszen az valójában az ügyfelek pénze. Ezért a védelmi rendszert olyan speciális tulajdonságokkal kell ellátni, amelyek minimálisra csökkentik az elvesztésének kockázatát. Az egyik legfigyelemreméltóbb a merevlemezen lévő rossz szektorok meghatározásának funkciója. Ezen túlmenően nagy jelentőséggel bír a lemez kezdeti titkosításának, visszafejtésének és újratitkosításának folyamatainak szüneteltetése és megszakítása. Ezek meglehetősen hosszadalmas eljárások, amelyek során minden hiba az összes adat teljes elvesztésével fenyeget.
Az emberi tényező nagyon nagy hatással van a bizalmas információkhoz való jogosulatlan hozzáféréssel járó kockázatokra. Ezért kívánatos, hogy a védelmi rendszer lehetőséget biztosítson ennek a kapcsolatnak a csökkentésére. Ezt a titkosítási kulcsok – intelligens kártyák vagy USB-kulcsok – megbízható tárolásával érik el. Ezeknek a tokeneknek a termékbe való beépítése optimális, nem csak a költségek optimalizálását teszi lehetővé, hanem a szoftver és a hardver teljes kompatibilitását is biztosítja.
Egy másik fontos funkció, amely lehetővé teszi az emberi tényező befolyásának minimalizálását a védelmi rendszer megbízhatóságára, a kulcsok határozatképessége. Lényege, hogy a titkosítási kulcsot több részre osztják, amelyek mindegyikét egy felelős alkalmazott használhatja. Zárt lemez csatlakoztatásához meghatározott számú alkatrész szükséges. Sőt, kisebb is lehet, mint a kulcs részeinek teljes száma. Ez a megközelítés lehetővé teszi az adatok védelmét a felelős munkatársak általi visszaélésekkel szemben, valamint biztosítja a bank munkájához szükséges rugalmasságot.
Biztonsági mentés
A bankban tárolt összes információ rendszeres biztonsági mentése feltétlenül szükséges. Lehetővé teszi a veszteségek jelentős csökkentését olyan problémák esetén, mint például vírusok által okozott adatsérülés, hardverhiba stb. Ugyanakkor növeli az illetéktelen hozzáféréssel járó kockázatokat. A gyakorlat azt mutatja, hogy az adathordozót, amelyre a mentések készülnek, nem a szerverszobában kell tárolni, hanem egy másik helyiségben vagy akár egy épületben. Ellenkező esetben tűz vagy más súlyos incidens esetén mind az adatok, mind az archívumaik helyrehozhatatlanul elveszhetnek. A biztonsági másolatok illetéktelen használat elleni biztonságos védelmének egyetlen módja a titkosítás. Ebben az esetben a biztonsági tiszt a titkosítási kulcsot magánál tartva biztonságosan továbbíthatja az archívumot tartalmazó adathordozókat a műszaki személyzetnek.
A biztonsági mentések kriptográfiai védelmének megszervezésének fő nehézsége az, hogy szét kell választani az adatarchiválás kezelésével kapcsolatos felelősségeket. A rendszergazdának vagy más műszaki alkalmazottnak magát a biztonsági mentési folyamatot kell konfigurálnia és végrehajtania. Az információk titkosítását egy felelős alkalmazottnak - egy biztonsági tisztnek - kell kezelnie. Ugyanakkor meg kell érteni, hogy az esetek túlnyomó többségében a foglalás automatikusan megtörténik. Ezt a problémát csak úgy lehet megoldani, ha egy titkosítási védelmi rendszert "beágyaznak" a mentéskezelő rendszer és az adatokat rögzítő eszközök (streamerek, DVD-meghajtók stb.) közé.
Így a kriptográfiai termékeknek ahhoz, hogy bankokban is használhatók legyenek, együtt kell tudniuk működni a különböző eszközökkel, amelyekkel biztonsági mentéseket írnak adathordozókra: streamerek, CD- és DVD-meghajtók, cserélhető merevlemezek stb.
Ma háromféle termék létezik, amelyek célja a biztonsági másolatokhoz való jogosulatlan hozzáféréssel járó kockázatok minimalizálása. Az első speciális eszközöket tartalmaz. Az ilyen hardvermegoldások számos előnnyel rendelkeznek, beleértve az információk megbízható titkosítását és a nagy sebességet. Van azonban három jelentős hátrányuk, amelyek megakadályozzák a banki felhasználásukat. Először is: nagyon magas költségek (több tízezer dollár). Másodszor: lehetséges problémák az oroszországi importtal (nem szabad elfelejtenünk, hogy kriptográfiai eszközökről beszélünk). A harmadik hátrány, hogy nem lehet hozzájuk csatlakoztatni külső tanúsított kriptoszolgáltatókat. Ezek a táblák csak hardver szinten bennük implementált titkosítási algoritmusokkal működnek.
A biztonsági mentések kriptográfiai védelmére szolgáló védelmi rendszerek második csoportja olyan modulokból áll, amelyeket a szoftver- és hardverfejlesztők kínálnak ügyfeleiknek biztonsági mentés céljából. Léteznek ezen a területen az összes legismertebb termékhez: ArcServe, Veritas Backup Exec stb. Igaz, ezeknek is megvannak a sajátosságai. A legfontosabb dolog az, hogy csak a "saját" szoftverrel vagy meghajtóval dolgozzon. Eközben a bank információs rendszere folyamatosan fejlődik. És lehetséges, hogy a biztonsági rendszer cseréje vagy bővítése további költségeket igényelhet a védelmi rendszer módosításához. Ráadásul az ebbe a csoportba tartozó termékek többsége régi lassú titkosítási algoritmusokat valósít meg (például 3DES), nincsenek kulcskezelő eszközök, és nincs lehetőség külső kriptográfiai szolgáltatók csatlakoztatására.
Mindez arra kényszerít bennünket, hogy fokozott figyelmet fordítsunk a harmadik csoportba tartozó biztonsági mentések kriptográfiai védelmi rendszereire. Speciálisan tervezett szoftvereket, firmware- és hardvertermékeket foglal magában, amelyek nem kapcsolódnak konkrét adatarchiváló rendszerekhez. Az információrögzítő eszközök széles skáláját támogatják, ami lehetővé teszi azok használatát a bank egészében, beleértve annak minden fiókját is. Ez biztosítja az alkalmazott védelmi eszközök egységességét és az üzemeltetési költségek minimalizálását.
Igaz, érdemes megjegyezni, hogy minden előnyük ellenére a harmadik csoportból nagyon kevés termék van a piacon. Ennek valószínűleg az az oka, hogy nincs nagy kereslet a kriptográfiai biztonsági mentési védelmi rendszerek iránt. Amint a bankok és más nagy szervezetek vezetése ráébred a kereskedelmi információk archiválásával járó kockázatokra, a piac szereplőinek száma növekedni fog.
Bennfentes védelem
Az információbiztonság területén a közelmúltban végzett tanulmányok, mint például az éves CSI/FBI Computer Crime And Security Survey kimutatták, hogy a vállalatok pénzügyi veszteségei a legtöbb fenyegetés miatt évről évre csökkennek. Ennek ellenére több kockázat is felmerül, amelyekből származó veszteségek nőnek. Ezek egyike a bizalmas információ szándékos ellopása, illetve azok kezelési szabályainak megsértése azon munkavállalók részéről, akiknek a kereskedelmi adatokhoz való hozzáférése hivatali feladatai ellátásához szükséges. Bennfenteseknek hívják őket.
Az esetek túlnyomó többségében a bizalmas információk ellopása mobil adathordozók segítségével történik: CD-k és DVD-k, ZIP-eszközök és ami a legfontosabb, mindenféle USB-meghajtó. Tömeges terjesztésük vezetett a bennfentes kereskedelem virágzásához világszerte. A legtöbb bank vezetője tisztában van azzal, hogy mi fenyeget például, ha bűnszervezetek kezébe kerül egy olyan adatbázis, amely ügyfeleik személyes adatait, vagy mi több a számláikon lévő tranzakciókat tartalmazza. Az esetleges információlopás ellen pedig a rendelkezésükre álló szervezési módszerekkel próbálnak küzdeni.
A szervezési módszerek azonban ebben az esetben hatástalanok. Ma már meg lehet szervezni az információátvitelt a számítógépek között miniatűr pendrive-on, mobiltelefonon, mp3 lejátszón, digitális fényképezőgépen... Természetesen meg lehet próbálni ezeknek az eszközöknek az irodába való behozatalát tiltani, de ez egyrészt negatívan befolyásolja az alkalmazottakkal fenntartott kapcsolatokat, másrészt még mindig nagyon nehéz valóban hatékony ellenőrzést kialakítani az emberek felett - a bank nem egy "postafiók". És még az sem segít, ha a számítógépeken minden olyan eszközt letiltunk, amelyekkel információkat lehet írni külső adathordozókra (FDD- és ZIP-meghajtók, CD- és DVD-meghajtók stb.) és USB-portokra. Hiszen előbbiekre a munkához van szükség, utóbbihoz pedig különféle perifériák csatlakoznak: nyomtatók, szkennerek stb. És senki sem akadályozhatja meg, hogy egy percre is kikapcsolja a nyomtatót, flash meghajtót helyezzen a felszabaduló portba, és fontos információkat másoljon rá. Természetesen megtalálhatja az eredeti védekezési módokat. Például az egyik bankban kipróbálták ezt a problémamegoldási módszert: az USB-port és a kábel találkozási pontját epoxigyantával töltötték meg, ez utóbbit szorosan „kötözték” a számítógéphez. De szerencsére ma már léteznek korszerűbb, megbízhatóbb és rugalmasabb ellenőrzési módszerek.
A bennfentesekkel kapcsolatos kockázatok minimalizálásának leghatékonyabb eszköze a speciális szoftver, amely dinamikusan kezeli az összes olyan eszközt és számítógép-portot, amely információk másolására használható. Munkájuk elve a következő. A különböző portok és eszközök használatára vonatkozó engedélyek minden felhasználói csoporthoz vagy minden felhasználóhoz külön-külön be vannak állítva. Az ilyen szoftverek legnagyobb előnye a rugalmasság. Meghatározott típusú eszközökhöz, azok modelljéhez és egyedi példányaihoz megadhat korlátozásokat. Ez lehetővé teszi a hozzáférési jogok elosztására vonatkozó nagyon összetett házirendek megvalósítását.
Például egyes alkalmazottak számára engedélyezhető az USB-portokhoz csatlakoztatott nyomtatók és szkennerek használata. Az ehhez a porthoz csatlakoztatott összes többi eszköz elérhetetlen marad. Ha a bank tokeneken alapuló felhasználó-hitelesítési rendszert használ, akkor a beállításokban megadhatja a használt kulcsmodellt. Ekkor a felhasználók csak a cég által vásárolt eszközöket használhatják, a többi pedig használhatatlan lesz.
A védelmi rendszerek fent leírt működési elve alapján megértheti, hogy mely pontok fontosak a rögzítőeszközök és a számítógépes portok dinamikus blokkolását megvalósító programok kiválasztásakor. Először is a sokoldalúság. A védelmi rendszernek le kell fednie a lehetséges portok és információbeviteli-kimeneti eszközök teljes körét. Ellenkező esetben a kereskedelmi információlopás kockázata elfogadhatatlanul magas marad. Másodszor, a kérdéses szoftvernek rugalmasnak kell lennie, és lehetővé kell tennie szabályok létrehozását az eszközökről szóló nagy mennyiségű információ felhasználásával: típusuk, modellgyártók, az egyes példányok egyedi számai stb. Harmadszor pedig a bennfentes védelmi rendszernek integrálhatónak kell lennie a bank információs rendszerével, különösen az Active Directoryval. Ellenkező esetben az adminisztrátornak vagy biztonsági tisztnek két adatbázist kell karbantartania a felhasználókról és a számítógépekről, ami nem csak kényelmetlen, de növeli a hibaveszélyt is.
Összegezve
Tehát ma már vannak olyan termékek a piacon, amelyek segítségével bármely bank megbízható rendszert tud kialakítani az információk illetéktelen hozzáféréssel és visszaélésekkel szembeni védelmére. Igaz, amikor kiválasztják őket, nagyon óvatosnak kell lenni. Ideális esetben ezt megfelelő szintű belső szakértőknek kell elvégezniük. Harmadik fél szolgáltatásainak használata megengedett. Ebben az esetben azonban előfordulhat olyan helyzet, amikor a bankot nem megfelelő szoftverrel, hanem a beszállító cég számára előnyös szoftverrel fogják ügyesen rákényszeríteni. Ráadásul a hazai információbiztonsági tanácsadási piac gyerekcipőben jár.
Eközben a helyes választás egyáltalán nem nehéz. Elég, ha felvértezi magát az általunk felsorolt kritériumokkal, és alaposan tanulmányozza a biztonsági rendszerek piacát. De van egy „csapda”, amire emlékezni kell. Ideális esetben egységes lenne a bank információbiztonsági rendszere. Vagyis minden alrendszert integrálni kell a meglévő információs rendszerbe, és lehetőleg közös menedzsmenttel kell rendelkeznie. Ellenkező esetben elkerülhetetlen a védelmi adminisztráció megnövekedett munkaerőköltsége és a vezetési hibák miatti kockázatok növekedése. Ezért a ma leírt három védelmi alrendszer felépítéséhez jobb, ha egy fejlesztő által kiadott termékeket választunk. Ma Oroszországban vannak olyan cégek, amelyek mindent létrehoznak, ami ahhoz szükséges, hogy megvédjék a banki információkat az illetéktelen hozzáféréstől.
A bankok információbiztonsági rendszere nagyban különbözik más cégek és szervezetek hasonló stratégiáitól. Ennek oka elsősorban a fenyegetések sajátossága, valamint a bankok nyilvános tevékenysége, amelyek az ügyfelek kényelme érdekében kénytelenek kellően egyszerűvé tenni a számlákhoz való hozzáférést.
A számítástechnika fejlődésével és terjedelmével egyre élesebbé válik a számítógépes rendszerek biztonságának biztosításának, a bennük tárolt és feldolgozott információknak a különféle fenyegetésekkel szembeni védelmének problémája. Ennek számos objektív oka van.
A legfontosabb az automatizált információfeldolgozó rendszerek iránti fokozott bizalom. A legfelelősségteljesebb munkát bízzák rájuk, amelynek minőségén sok ember élete és jóléte múlik. Számítógépek irányítják a vállalatok és atomerőművek technológiai folyamatait, repülőgépek és vonatok mozgását, pénzügyi tranzakciókat hajtanak végre, titkos információkat dolgoznak fel.
Az információk védelmének különféle lehetőségei ismertek - a bejáratnál lévő biztonsági őrtől a matematikailag ellenőrzött módszerekig az adatok elrejtésére az ismerősök elől. Emellett beszélhetünk globális védelemről és annak egyedi vonatkozásairól: személyi számítógépek, hálózatok, adatbázisok védelme stb.
Meg kell jegyezni, hogy nincsenek teljesen biztonságos rendszerek. A rendszer megbízhatóságáról egyrészt csak bizonyos valószínűséggel, másrészt a jogsértők egy bizonyos kategóriájával szembeni védelemről beszélhetünk. A számítógépes rendszerbe való behatolás azonban előre látható. A védekezés egyfajta verseny a védekezés és a támadás között: aki többet tud és hatékony intézkedéseket hoz, az nyer.
A bank automatizált információfeldolgozó rendszerének védelmének megszervezése egyetlen intézkedéscsomag, amelynek figyelembe kell vennie az információfeldolgozási folyamat összes jellemzőjét. A felhasználót az üzemeltetés során okozott kellemetlenségek ellenére sok esetben feltétlenül szükséges lehet a védelmi intézkedések megtétele a rendszer normál működéséhez. Az említett kellemetlenségek közül elsősorban Gaikovich Yu.V., Pershin A.S. Elektronikus banki rendszerek biztonsága.-M.: Egyesült Európa, 1994.- S..33:
Nehéz elképzelni egy modern bankot automatizált információs rendszer nélkül. A számítógépek egymással és nagyobb teljesítményű számítógépekkel, valamint más bankok számítógépeivel való összekapcsolása is a bank sikeres működésének szükséges feltétele - a rövid időn belül végrehajtandó műveletek száma túl nagy.
Ezzel párhuzamosan az információs rendszerek a modern bankok egyik legsérülékenyebb oldalává válnak, vonzzák a behatolókat a bank munkatársai közül és kívülről egyaránt. A bankok információs rendszerének tevékenységébe való beavatkozással összefüggő bűncselekményekből származó veszteségekre vonatkozó becslések igen eltérőek. Számításukra többféle módszer létezik. Az átlagos elektronikus banklopás körülbelül 9000 dollár, és az egyik leghírhedtebb botrány 700 millió dollár eltulajdonítási kísérlete (First National Bank, Chicago).
Ezenkívül nem csak a közvetlen kár mértékét kell figyelembe venni, hanem a nagyon költséges intézkedéseket is, amelyeket a számítógépes rendszerek sikeres feltörésére irányuló kísérletek után hajtanak végre. Tehát az egyik legszembetűnőbb példa a Bank of England titkos számláival végzett munkával kapcsolatos adatok elvesztése 1999 januárjában. Ez a veszteség arra kényszerítette a bankot, hogy módosítsa az összes levelező számla kódját. Ezzel kapcsolatban az Egyesült Királyságban minden rendelkezésre álló hírszerző és kémelhárító erőt riasztottak annak érdekében, hogy megakadályozzák az információ esetleges kiszivárgását, amely óriási károkat okozhat. A kormány szélsőséges intézkedéseket hozott, hogy kívülállók ne szerezzenek tudomást arról, hogy a Bank of England milyen számlákra és címekre küld naponta több százmilliárd dollárt. Ráadásul az Egyesült Királyságban jobban féltek attól a helyzettől, amikor az adatok a külföldi titkosszolgálatok rendelkezésére állnak. Ebben az esetben a Bank of England teljes pénzügyi levelezőhálózata megnyílt volna. A károsodás lehetősége néhány héten belül megszűnt.
Adzhiev V. Mítoszok a szoftverbiztonságról: tanulságok híres katasztrófákból//Open Systems.-1999. -- №6.-- C..21-24
A bankok által nyújtott szolgáltatások ma nagyrészt a bankok, bankok, ügyfeleik és kereskedelmi partnereik közötti elektronikus interakción alapulnak. Jelenleg a banki szolgáltatások elérése különböző távoli pontokról, így otthoni terminálokról és irodai számítógépekről vált lehetővé. Ez a tény arra késztet bennünket, hogy eltávolodjunk a 60-as években a bankokra jellemző „zárt ajtók” fogalmától, amikor a számítógépeket a legtöbb esetben kötegelt üzemmódban használták segédeszközként, és nem volt kapcsolatuk a külvilággal.
Az automatizálási eszközökkel felszerelt felszereltség fontos szerepet játszik a bank tevékenységében, ezért közvetlenül befolyásolja pozícióját és bevételét. A bankok közötti verseny fokozódása miatt csökkenteni kell az elszámolási időt, bővíteni kell a kínált szolgáltatások körét és javítani kell a szolgáltatások minőségét. Minél kevesebb időt vesz igénybe a bank és az ügyfelek közötti elszámolás, annál nagyobb lesz a bank forgalma, és ebből következően a nyeresége. Emellett a bank gyorsabban tud majd reagálni a pénzügyi helyzet változásaira. A különféle banki szolgáltatások (elsősorban a készpénz nélküli fizetés lehetőségére utal a bank és ügyfelei között plasztikkártyás kártyával) jelentősen növelheti ügyfelei számát, és ennek eredményeként a nyereséget.
A bank információbiztonsága során a következő konkrét tényezőket kell figyelembe venni:
A bankszektorban elkövetett bűncselekményeknek is megvannak a sajátosságai Gamza V.A. , Tkachuk I.B. Kereskedelmi bank biztonsága.- M ..: Egyesült Európa, 2000.- C..24:
A támadók általában saját számláikat használják, ahová az ellopott összegeket átutalják. A legtöbb bűnöző nem tudja, hogyan kell tisztára mosni az ellopott pénzt. A bűncselekmény elkövetésének képessége és a pénzszerzés képessége nem ugyanaz.
A legtöbb számítógépes bűncselekmény kicsinyes. Az általuk okozott kár 10 000 és 50 000 dollár között mozog.
A sikeres számítógépes bûnözéshez általában nagyszámú (akár több száz) banki tranzakcióra van szükség. Nagy összegek azonban néhány tranzakcióval átutalhatók.
A legtöbb behatoló hivatalnok. Bár a bank vezető beosztású dolgozói is elkövethetnek bűncselekményeket, és sokkal több kárt okoznak a banknak, az ilyen esetek ritkák.
A számítógépes bűncselekmények nem mindig csúcstechnológiájúak. Elegendő az adatok meghamisítása, az ASOIB környezet paramétereinek megváltoztatása stb., és ezek a műveletek a karbantartók számára is elérhetőek.
Sok támadó azzal magyarázza tettét, hogy csak kölcsönt vesz fel a banktól, majd visszatérítéssel. A „visszatérés” azonban általában nem fordul elő.
A bankok automatizált információfeldolgozó rendszerei védelmének sajátosságai az általuk megoldott feladatok sajátosságaiból fakadnak:
Általános szabály, hogy az ASOIB folyamatosan érkező kérések nagy folyamát dolgozza fel valós időben, amelyek feldolgozása nem igényel sok erőforrást, de együtt csak egy nagy teljesítményű rendszer képes feldolgozni őket;
Az ASOIB olyan bizalmas információkat tárol és dolgoz fel, amelyeket nem szánnak a nagyközönségnek. Hamisítása vagy kiszivárgása súlyos (a bank vagy ügyfelei számára) következményekkel járhat. Ezért az ASOIB arra van ítélve, hogy viszonylag zárt maradjon, meghatározott szoftverek irányítása alatt működjön, és nagy figyelmet fordít azok biztonságának biztosítására;
Az ASOIB másik jellemzője a megnövekedett követelmények a szoftverek és hardverek megbízhatóságával szemben. Emiatt sok modern ASOIB az úgynevezett hibatűrő számítógépes architektúra felé hajlik, amely lehetővé teszi az információk folyamatos feldolgozását különféle hibák és hibák esetén is.
Az ASOI bankok általi használata összefügg e rendszerek védelmének sajátosságaival, ezért a bankoknak nagyobb figyelmet kell fordítaniuk automatizált rendszereik védelmére.
Az első fejezet következtetései:
2004-ben (majd 2006-ban módosították) a bankközösségnek felajánlották az Oroszországi Bank „Az Orosz Föderáció bankrendszerének szervezeteinek információbiztonságának biztosítása vagy az STO BR IBBS” szabványát, amelynek célja, hogy megakadályozza a bankrendszer kialakulását. fenyegetések a bankok információbiztonsági rendszerében és a kapcsolódó kockázatok. A szabványrendszer ma már öt dokumentumot tartalmaz, köztük az audit standardot, a szabvány követelményeinek való megfelelés értékelésének módszertanát, valamint a megfelelő szabványosítási ajánlásokat (RS).
Asztal 1
|
Az Orosz Föderáció bankrendszerének szervezeteinek információbiztonságának biztosítása Szabványok (STO) és szabványosítási ajánlások (RS) |
|||
|
Osztályozó STO BR IBBS – 0,0 |
Kifejezések és meghatározások STO BR IBBS - 0,1 |
||
|
Általános rendelkezések STO BR IBBS – 1.0 |
Információbiztonsági audit STO BR IBBS – 1.1 |
Megfelelőségértékelési módszertan STO BR IBBS - 1.2 |
|
|
Információbiztonsági dokumentumok RS BR IBBS – 2.0 |
Önértékelési útmutató RS BR IBBS - 2.1 |
||
|
Eszközosztályozási módszertan RS BR IBBS - 2.2 |
Kockázatértékelési módszertan RS BR IBBS - 2.3 |
||
A szabványrendszer az ISO (The International Organisation for Standardization) 9000 sorozatú nemzetközi minőségi szabvány ideológiáján alapul, melynek jelentése a következő: ha valamely termék gyártása során állandó gyártási feltételeket biztosítanak és ellenőrzöttek. , akkor a termék minősége mindig megfelel az eredeti, előre megadott követelményeknek. Az ISO 9000 sorozat nemzetközi szabványrendszerének ideológiája volt az alapja a COBIT, az ISO / IES 17799, 15408, majd a 27000 sorozat ideológiájának, amelyek alapvető információbiztonsági szabványok.
A következő, a Bank of Russia biztonsági standardjainak ideológiája mögött meghúzódó információ az információbiztonsági kockázatok, amelyek a Bázel II ajánlása szerint a működési kockázatok közé tartoznak.
A szabvány kidolgozása érdekében tanulmányokat végeztek a külföldi analógokról, a nemzeti szabványok, az ISO nemzetközi szabványok legjobb gyakorlatairól, kutatási munkát végeztek, külön szabványosítási albizottságot hoztak létre (albizottság » Szövetségi Műszaki Szabályozási és Metrológiai Szolgálat).
Az albizottság egy állandó testület, amely az Orosz Föderáció pénzügyi szektorában állami szinten biztosítja a dokumentumok kidolgozását, jóváhagyását, jóváhagyásra való előkészítését és vizsgálatát az információvédelem és információbiztonság szabványosítása terén. Ma már több mint húsz legnagyobb hitelintézetet, valamint az információbiztonsági eszközök és szolgáltatások piacán jelentős helyet foglaló szervezeteket, valamint a műszaki szabályozó testületek képviselőit foglalja magában.
Ezen túlmenően a szabvány gyakorlati megvalósításának támogatása érdekében létrehozták az ABISS közösséget (Association for Banking Information Security Standards) - az Orosz Föderáció Központi Bankjának Szabványait Felhasználók Közösségét, hogy biztosítsák a bank információbiztonságát. szervezetek az Orosz Föderáció bankrendszerében. A közösségben minden érdekelt pénzügyi szervezet, köztük sok bank is részt vett.
Az információbiztonság biztosításának elvei a Bank of Russia szabványa szerint (nem túl egyértelmű válasz, minden egy kupacban van, de nincs jobb)
Miért van szükség szabványra?
A Bank más gazdasági és pénzügyi szervezetek pénzével dolgozik. Abban az esetben, ha komoly nehézségei adódnának, amelyek minden bizonnyal és nagyon gyorsan ismertté válnak, más hitelintézetek kénytelenek lesznek lezárni a refinanszírozási kereteit, miközben ez arra ösztönzi az ügyfeleket, hogy kivonják vagy ne újítsák meg a betéteiket - és ez elkerülhetetlenül a hitelintézetek refinanszírozásához vezet. likviditási válság. Akár egy összetevőjének destabilizálása is rendszerösszeomláshoz vezethet, ami már az államra is veszélyt jelent.
Az IS szabvány biztosításának alapelvei.
A szervezet biztonságos működésének általános elvei tükrözik az „Orosz Föderáció bankrendszerének szervezetének információbiztonsága” koncepció lényegét, amelyet a szabvány az „érdekek (célok) védelmének állapotaként határoz meg. ) az Orosz Föderáció bankrendszerének (BS) szervezetének az információs szférát fenyegető fenyegetésekkel szemben".
Különösen az olyan helyzetek megelőzésére koncentrálnak, amikor egy szupererős, drága és hitelesített beléptető rendszert telepítenek a tulajdonos rendszerébe, és egy hónap utáni ellenőrzéskor kiderül, hogy mindenki és minden engedélyezett a rendszerben. Ugyanakkor a tulajdonos továbbra is biztos abban, hogy jelentős forrásokat fektetett be, megbízható biztonsági rendszerrel rendelkezik, de a gyakorlatban minden más. Így csak azokat a védőintézkedéseket szabad beépíteni a rendszerbe, amelyek helyes működése ellenőrizhető.
A fenyegetések és az információbiztonsági szabvány megsértőinek modelljei.
Az RF BS szervezet tevékenységét információs infrastruktúrája támogatja, amely biztosítja a banki technológiák megvalósítását, és az alábbi főbb szintek hierarchiájaként ábrázolható:
– fizikai (kommunikációs vonalak, hardver stb.);
– hálózat (hálózati hardver: útválasztók, kapcsolók, hubok stb.);
– hálózati alkalmazások és szolgáltatások;
– operációs rendszerek (OS);
– adatbázis-kezelő rendszerek (DBMS);
– banki technológiai folyamatok és alkalmazások;
– a szervezet üzleti folyamatai.
Ugyanakkor a felsorolt fenyegetési szinteken és azok forrásainál (beleértve a behatolókat is) eltérőek a védekezési módszerek és eszközök, valamint a hatékonyság értékelésének megközelítései. A szervezetnek konkrét védelmi objektumokat kell meghatároznia az információs infrastruktúra minden szintjén.
Azt is a szabvány előírásai határozzák meg, hogy adott szervezet számára lehetséges a fenyegetések és az IS-sértők modelljei kidolgozása. Az IS fenyegetési modell követelményei, beleértve a fenyegetésforrások, a fenyegetések által használt sérülékenységek, a fenyegetés megvalósítására alkalmas támadási módszerek és objektumok leírását, az esetleges veszteségek típusait, a lehetséges kár mértékét, a nemzetközi szabványok vonatkozó követelményein alapulnak. .
A fenyegetések forrásaira - emberekre - kidolgozható a behatolók (sértők) modellje, amely magában foglalja a fenyegetés megvalósításához szükséges tapasztalatok, ismeretek, rendelkezésre álló erőforrások leírását és tetteik lehetséges motivációját.
A szabvány IS-politikája.
A szabvány a következő nyolc területen tartalmazza az általános információszolgáltatási követelményeket (szabályokat), amelyeknek tükröződniük kell a szervezet információs információs szabályzatában:
1. a szerepek kiosztása és elosztása, valamint a személyzet hitelességének biztosítása;
2. Az automatizált banki rendszerek információs rendszere az életciklus szakaszaiban;
3. információbiztonság biztosítása a beléptetés és regisztráció során;
4. információbiztonság biztosítása vírusvédelemmel;
5. az információbiztonság biztosítása az internetes források használata során;
6. információbiztonság biztosítása a kriptográfiai információvédelmi eszközök alkalmazása során;
7. a banki fizetési technológiai folyamatok IS biztosítása;
8. a banki informatikai folyamatok információbiztonságának biztosítása.
Ugyanakkor egy szervezet információbiztonsági politikája az információbiztonság egyéb olyan területeire is kiterjedhet, amelyek megfelelnek üzleti céljainak.
A banki számítógépes bűncselekmények információbiztonsági fenyegetések megvalósítása.
A fenyegetéseket általános (bármely információs rendszerre jellemző) és specifikus (a hitelintézet funkcióihoz kapcsolódó) fenyegetésekre osztják. Általában a következő osztályozás adható:
Természeti veszélyek:
Természeti katasztrófák (Információs rendszer megsértése. Emberek, hordozók fizikai megsemmisítése)
Mágneses viharok és radioaktív sugárzás (Mágneses adathordozókra, elektronikus adatfeldolgozási és adatátviteli eszközökre gyakorolt hatás. Berendezések és meghibásodások)
Műszaki:
Áramkimaradás (információvesztés)
A berendezések meghibásodásai és meghibásodásai (Információ torzulása és elvesztése)
Elektromágneses sugárzás és interferencia (Információ illetéktelen átvitele az információs rendszeren kívülre)
Szivárgás a kommunikációs csatornákon keresztül (a speciális érzékelőkkel vagy közvetlen kapcsolaton keresztül történő eltávolítási lehetőség miatt).
Emberi tényező
A menedzsment és karbantartó személyzet, programozók, az információs rendszer felhasználói, biztonsági szolgálatok stb. nem szándékos vagy szándékos tevékenysége.
Kifejezetten a bankrendszer számára a következő specifikus fenyegetések fontosak:
- a banki létszámhoz nem tartozó illetéktelen személyek illetéktelen hozzáférése, a tárolt bizalmas információk megismerése;
- a banki alkalmazottak megismertetése olyan információkkal, amelyekhez nem szabad hozzáférniük;
– programok és adatok jogosulatlan másolása;
– a kommunikációs csatornákon továbbított bizalmas információk lehallgatása és utólagos nyilvánosságra hozatala;
– bizalmas információkat tartalmazó mágneses adathordozók ellopása;
– nyomtatott banki dokumentumok ellopása;
– az információ véletlen vagy szándékos megsemmisítése;
– a pénzügyi dokumentumok, beszámolók és adatbázisok banki alkalmazottak illetéktelen módosítása.
- kommunikációs csatornákon továbbított üzenetek meghamisítása, ideértve egy korábban továbbított üzenet kikényszerítését is;
- az információ átvételének megtagadása;
– a fájlstruktúra megsemmisülése a programok vagy a hardver nem megfelelő működése miatt;
– vírushatások által okozott információk megsemmisítése;
– a mágneses adathordozón tárolt archív banki információk megsemmisítése;
– berendezések lopása;
– hibák a szoftverben;
- berendezés meghibásodása, ideértve az áramkimaradásból és a berendezés működését akadályozó egyéb tényezőkből adódóakat is.
ESETBEN HOGYAN CSINÁLJA BIZTONSÁGOSAN A BANKBAN
A banki biztonságot biztosító átfogó rendszer olyan szervezeti és jogi jellegű, egymással összefüggő intézkedések összessége, amelyeket azért hajtanak végre, hogy megvédjék a bankot a magánszemélyek és jogi személyek tényleges vagy potenciális cselekményeitől, amelyek jelentős veszteségekhez vezethetnek.
A biztonsági rendszer fő feladatai:
a bank biztonságának biztosítása
speciális irodai munka szervezése, kizárva a bizalmas információk jogosulatlan átvételét;
a bizalmas információk közzétételének, kiszivárogtatásának és jogosulatlan hozzáférésének lehetséges csatornáinak azonosítása és lokalizálása a napi tevékenység során és szélsőséges helyzetekben;
biztonsági rendszer biztosítása minden típusú tevékenységhez, ideértve a találkozókat, tárgyalásokat, a nemzeti és nemzetközi szintű üzleti együttműködéshez kapcsolódó találkozókat;
épületek, helyiségek, berendezések és műszaki eszközök védelmének biztosítása a termelési tevékenység biztosításához;
a személyzet biztonságának biztosítása;
A biztonsági rendszer az alábbi szervezeti és jogi dokumentumok alapján működik:
a bank alapszabálya;
A biztonsági rendszerre vonatkozó előírások;
Útmutató a bizalmas információk védelmére;
Útmutató a külföldi szakemberekkel való együttműködéshez;
A helyiségek és műszaki létesítmények mérnöki és műszaki védelmére vonatkozó irányelvek.
